(1)

Cilj Direktive (EU) 2016/1148 Europskog parlamenta i Vijeća (⁴) bio je izgradnja kibersigurnosnih kapaciteta širom Unije, ublažavanje prijetnji mrežnim i informacijskim sustavima koji se upotrebljavaju za pružanje osnovnih usluga u ključnim sektorima i osiguravanje kontinuiteta takvih usluga u slučaju incidenata, čime se doprinosi sigurnosti Unije i učinkovitom funkcioniranju njezina gospodarstva i društva.

(2)

Od stupanja na snagu Direktive (EU) 2016/1148 ostvaren je znatan napredak u povećanju Unijine razine kiberotpornosti. Preispitivanje te direktive pokazalo je da je bila katalizator za institucionalni i regulatorni pristup kibersigurnosti u Uniji i omogućila bitnu promjenu načina razmišljanja. Njome je osiguran dovršetak nacionalnih okvira za sigurnost mrežnih i informacijskih sustava uvođenjem nacionalnih strategija za sigurnost mrežnih i informacijskih sustava te uspostavom nacionalnih kapaciteta i provedbom regulatornih mjera kojima su obuhvaćeni ključna infrastruktura i subjekti koje je utvrdila svaka država članica. Direktiva (EU) 2016/1148 doprinijela je i suradnji na razini Unije osnivanjem skupine za suradnju i mreže nacionalnih timova za odgovor na računalne sigurnosne incidente. Neovisno o tim postignućima, preispitivanjem Direktive (EU) 2016/1148 otkriveni su svojstveni nedostaci zbog kojih se njome ne može učinkovito odgovoriti na aktualne i nove izazove u području kibersigurnosti.

(3)

Mrežni i informacijski sustavi razvili su se u okosnicu svakodnevnog života uz brzu digitalnu transformaciju i međupovezanost društva, među ostalim u prekograničnim razmjenama. Taj je razvoj doveo do povećanja kiberprijetnji te time i novih izazova koji zahtijevaju prilagođene, koordinirane i inovativne odgovore u svim državama članicama. Incidenti su sve brojniji, sofisticiraniji, učestaliji, većih razmjera i utjecaja te predstavljaju veliku prijetnju funkcioniranju mrežnih i informacijskih sustava. Zbog toga incidenti mogu ugroziti obavljanje gospodarskih djelatnosti na unutarnjem tržištu, uzrokovati financijski gubitak, narušiti povjerenje korisnika i nanijeti veliku štetu gospodarstvu i društvu Unije. Pripravnost i djelotvornost u području kibersigurnosti sada su važnije nego ikad za pravilno funkcioniranje unutarnjeg tržišta. Nadalje, kibersigurnost je ključan čimbenik koji brojnim kritičnim sektorima omogućuje da se uspješno prilagode na digitalnu transformaciju i u potpunosti iskoriste gospodarske, socijalne i održive koristi digitalizacije.

(4)

Pravna osnova Direktive (EU) 2016/1148 bio je članak 114. Ugovora o funkcioniranju Europske unije (UFEU), čiji je cilj uspostava i funkcioniranje unutarnjeg tržišta jačanjem mjera za usklađivanje nacionalnih pravila. Kibersigurnosni zahtjevi koje moraju ispunjavati subjekti koji pružaju usluge ili obavljaju djelatnosti koje su gospodarski važne znatno se razlikuju među državama članicama s obzirom na vrstu, razinu detalja i metodu nadzora tih zahtjeva. Te razlike uzrokuju dodatne troškove i stvaraju poteškoće subjektima koji robu ili usluge nude prekogranično. Zahtjevi koje je odredila jedna država članica i koji se razlikuju od onih koje je odredila druga država članica ili su čak u sukobu s njima mogu znatno utjecati na takve prekogranične djelatnosti. Nadalje, mogućnost neodgovarajuće definiranja ili provedbe kibersigurnosnih zahtjeva u jednoj državi članici može utjecati na razinu kibersigurnosti drugih država članica, posebno s obzirom na intenzitet prekograničnih razmjena. Preispitivanje Direktive (EU) 2016/1148 pokazalo je da postoje velike razlike u njezinoj provedbi u državama članicama, među ostalim u pogledu njezina područja primjene, čije je određivanje u velikoj mjeri prepušteno državama članicama. Direktivom (EU) 2016/1148 državama članicama dano je i vrlo široko diskrecijsko pravo u pogledu provedbe obveza sigurnosti i izvješćivanja o incidentima koje su u njoj utvrđene. Stoga postoje velike razlike u provedbi tih obveza na nacionalnoj razini. Slične razlike postoje i u provedbi odredaba Direktive (EU) 2016/1148 o nadzoru i izvršavanju.

(5)

Sve te razlike dovode do fragmentacije unutarnjeg tržišta i mogu štetno utjecati na njegovo funkcioniranje, posebno na prekogranično pružanje usluga i razinu kiberotpornosti zbog primjene različitih mjera. Naposljetku, te razlike mogle bi dovesti do veće ranjivosti nekih država članica na kiberprijetnje, s mogućim učincima prelijevanja širom Unije. Cilj je ove Direktive ukloniti velike razlike među državama članicama, posebno određivanjem minimalnih pravila o funkcioniranju koordiniranog regulatornog okvira, utvrđivanjem mehanizama za djelotvornu suradnju nadležnih tijela u svakoj državi članici, ažuriranjem popisa sektora i djelatnosti koji podliježu kibersigurnosnim obvezama te osiguravanjem djelotvornih pravnih sredstava i mjera izvršavanja ključnih za djelotvorno izvršavanje tih obveza. Stoga bi Direktivu (EU) 2016/1148 trebalo staviti izvan snage i zamijeniti ovom Direktivom.

(6)

Stavljanjem izvan snage Direktive (EU) 2016/1148 područje primjene po sektorima trebalo bi proširiti na veći dio gospodarstva kako bi se osigurala sveobuhvatna pokrivenost sektora i usluga od velike važnosti za ključne društvene i gospodarske djelatnosti na unutarnjem tržištu. Ovom se Direktivom posebno nastoji prevladati nedostatke u razlikovanju operatora ključnih usluga od pružatelja digitalnih usluga, koje se pokazalo zastarjelim jer ne odražava važnost sektora ili usluga za društvene i gospodarske djelatnosti na unutarnjem tržištu.

(7)

Na temelju Direktive (EU) 2016/1148, države članice bile su odgovorne za utvrđivanje subjekata koji ispunjavaju kriterije na temelju kojih ih se smatralo operatorima ključnih usluga. Kako bi se uklonile velike razlike među državama članicama u tom pogledu i osigurala pravna sigurnost za mjere upravljanja kibersigurnosnim rizicima i obveze izvješćivanja za sve relevantne subjekte, trebalo bi uspostaviti jedinstveni kriterij za određivanje subjekata obuhvaćenih područjem primjene ove Direktive. Taj bi se kriterij trebao sastojati od primjene pravila o veličini, prema kojem su područjem primjene ove Direktive obuhvaćeni svi subjekti koji se smatraju srednjim poduzećima na temelju članka 2. Priloga Preporuci Komisije 2003/361/EZ (⁵) ili koji prelaze gornje granice za srednja poduzeća iz stavka 1. tog članka i koji posluju u sektorima i pružaju vrste usluga ili obavljaju djelatnosti obuhvaćene ovom Direktivom. Države članice također bi trebale osigurati da su područjem primjene ove Direktive obuhvaćena pojedina mala poduzeća i mikropoduzeća, kako su definirana u članku 2. stavku 2. i stavku 3. tog priloga i koja ispunjavaju posebne kriterije koji pokazuju da imaju ključnu ulogu za društvo, gospodarstvo ili za određene sektore ili vrste usluga.

(8)

Isključenje subjekata javne uprave iz područja primjene ove Direktive trebalo bi se primjenjivati na subjekte čije se djelatnosti pretežno obavljaju u područjima nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući sprečavanje, istragu, otkrivanje i progon kaznenih djela. Međutim, subjekti javne uprave čije su djelatnosti samo marginalno povezane s tim područjima ne bi trebali biti isključeni iz područja primjene ove Direktive. Za potrebe ove Direktive ne smatra se da subjekti s regulatornim ovlastima obavljaju djelatnosti u području izvršavanja zakonodavstva i stoga nisu isključeni iz područja primjene ove Direktive na toj osnovi. Subjekti javne uprave koji su zajednički osnovani s trećom zemljom u skladu s međunarodnim sporazumom isključeni su iz područja primjene ove Direktive. Ova se Direktiva ne primjenjuje na diplomatske i konzularne misije država članica u trećim zemljama ili na njihove mrežne i informacijske sustave ako se takvi sustavi nalaze u prostorijama misije ili ih koriste korisnici u trećoj zemlji.

(9)

Države članice trebale bi moći poduzeti mjere potrebne za osiguranje zaštite osnovnih interesa nacionalne sigurnosti, za zaštitu javne politike i javne sigurnosti te za omogućivanje sprečavanja, istrage, otkrivanja i progona kaznenih djela. U tu svrhu države članice trebale bi moći izuzeti određene subjekte koji obavljaju djelatnosti u području nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući sprečavanje, istragu, otkrivanje i progon kaznenih djela, od ispunjavanja određenih obveza utvrđenih u ovoj Direktivi u pogledu tih aktivnosti. Ako subjekt pruža usluge isključivo subjektu javne uprave koji je isključen iz područja primjene ove Direktive, države članice trebale bi moći izuzeti taj subjekt od ispunjavanja određenih obveza utvrđenih u ovoj Direktivi u pogledu tih usluga. Osim toga, nijedna država članica ne bi trebala biti obvezna davati informacije ako smatra da bi njihovo otkrivanje bilo suprotno osnovnim interesima njezine nacionalne sigurnosti, javne sigurnosti ili obrane. U tom kontekstu trebalo bi uzeti u obzir Unijina ili nacionalna pravila za zaštitu klasificiranih podataka, sporazume o povjerljivosti podataka i neformalne sporazume o povjerljivosti podataka kao što je Protokol o semaforu. Protokol o semaforu treba shvatiti kao sredstvo za pružanje informacija o svim ograničenjima u pogledu daljnjeg širenja informacija. Upotrebljava se u gotovo svim timovima za odgovor na računalne sigurnosne incidente (CSIRT-ovi) te u nekim centrima za analizu i razmjenu informacija.

(10)

Iako se ova Direktiva primjenjuje na subjekte koji obavljaju djelatnosti proizvodnje električne energije iz nuklearnih elektrana, neke od tih djelatnosti mogu biti povezane s nacionalnom sigurnošću. Ako je to slučaj, država članica trebala bi moći izvršavati svoju odgovornost za zaštitu nacionalne sigurnosti u pogledu tih djelatnosti, uključujući djelatnosti unutar nuklearnog vrijednosnog lanca, u skladu s Ugovorima.

(11)

Neki subjekti obavljaju djelatnosti u područjima nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući sprečavanje, istragu, otkrivanje i progon kaznenih djela istodobno pružajući usluge povjerenja. Pružatelji usluga povjerenja koji su obuhvaćeni područjem primjene Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća (⁶) trebali bi biti obuhvaćeni područjem primjene ove Direktive kako bi se osigurala razina sigurnosnih zahtjeva i nadzora jednaka onoj koja je prethodno utvrđena u toj uredbi u vezi pružatelja usluga povjerenja. U skladu s isključenjem određenih posebnih usluga iz Uredbe (EU) br. 910/2014, ova Direktiva ne bi se trebala primjenjivati na pružanje usluga povjerenja koje se isključivo koriste unutar zatvorenih sustava koji proizlaze iz nacionalnog prava ili iz sporazumâ među utvrđenom skupinom sudionika.

(12)

Pružatelji poštanskih usluga, kako su definirani u Direktivi 97/67/EZ Europskog parlamenta i Vijeća (⁷), uključujući pružatelje kurirskih usluga, trebali bi podlijegati ovoj Direktivi ako poduzimaju barem jedan od koraka u poštanskom lancu dostave, posebno prikupljanje, razvrstavanjem prijevoz ili dostavu poštanskih pošiljaka, uključujući i usluge preuzimanja, uzimajući u obzir stupanj njihove ovisnosti o mrežnim i informacijskim sustavima. Usluge prijevoza koje se ne poduzimaju u kombinaciji s jednim od tih koraka trebale bi biti isključene iz opsega poštanskih usluga.

(13)

S obzirom na jačanje i povećanu sofisticiranost kiberprijetnji, države članice trebale bi nastojati osigurati da subjekti isključeni iz područja primjene ove Direktive ostvare visoku razinu kibersigurnosti i poduprijeti provedbu jednakovrijednih mjera upravljanja kibersigurnosnim rizicima koje odražavaju osjetljivu prirodu tih subjekata.

(14)

Pravo Unije o zaštiti podataka i pravo Unije o zaštiti privatnosti primjenjuje se na svaku obradu osobnih podataka na temelju ove Direktive. Posebno, ovom Direktivom ne dovodi se u pitanje Uredba (EU) 2016/679 Europskog parlamenta i Vijeća (⁸) i Direktiva 2002/58/EZ Europskog parlamenta i Vijeća (⁹). Ova Direktiva stoga ne bi trebala utjecati, među ostalim, na zadaće i ovlasti tijela nadležnih za praćenje usklađenosti s primjenjivim pravom Unije o zaštiti podataka i pravom Unije o zaštiti privatnosti.

(15)

Subjekti obuhvaćeni područjem primjene ove Direktive za potrebe usklađenosti s mjerama upravljanja kibersigurnosnim rizicima i obvezama izvješćivanja trebali bi biti razvrstani u dvije kategorije, ključne subjekte i važne subjekte, ovisno o mjeri u kojoj su kritični s obzirom na njihov sektor ili vrstu usluga koje pružaju, kao i njihovu veličinu. U tom bi pogledu nadležna tijela, ako je to primjenjivo, u obzir trebala uzeti sve relevantne sektorske procjene rizika ili smjernice. Sustavi nadzora i izvršavanja za te dvije kategorije subjekata trebali bi se razlikovati kako bi se osigurala pravedna ravnoteža između zahtjeva i obveza utemeljenih na procjeni rizika s jedne strane te administrativnog opterećenja koje proizlazi iz nadzora usklađenosti s druge strane.

(16)

Kako bi se izbjeglo da se subjekti koji imaju partnerska poduzeća ili povezana poduzeća smatraju ključnim ili važnim subjektima ako bi to bilo nerazmjerno, države članice pri primjeni članka 6. stavka 2. Priloga Preporuci 2003/361/EZ mogu uzeti u obzir stupanj neovisnosti subjekta u odnosu na njegova partnerska ili povezana poduzeća. Posebno, države članice mogu uzeti u obzir činjenicu da je subjekt neovisan o svojim partnerskim ili povezanim poduzećima u pogledu mrežnih i informacijskih sustava kojima se taj subjekt koristi u pružanju svojih usluga i u pogledu usluga koje subjekt pruža. Na temelju toga, države članice, prema potrebi, mogu zauzeti stav da se takav subjekt ne smatra srednjim poduzećem na temelju članka 2. Priloga Preporuci 2003/361/EZ ili da ne prelazi gornje granice za srednje poduzeće iz stavka 1. tog članka, ako se, nakon uzimanja u obzir stupnja neovisnosti tog subjekta, ne bi smatralo da je taj subjekt srednje poduzeće ili da premašuje te gornje granice da su u obzir uzeti samo njegovi vlastiti podaci. To ne utječe na obveze utvrđene u ovoj Direktivi za partnerska i povezana poduzeća koja su obuhvaćena područjem primjene ove Direktive.

(17)

Države članice trebale bi moći odlučiti da se subjekti utvrđeni prije stupanja na snagu ove Direktive kao operatori ključnih usluga u skladu s Direktivom (EU) 2016/1148 trebaju smatrati ključnim subjektima.

(18)

Kako bi se osigurao jasan pregled subjekata obuhvaćenih područjem primjene ove Direktive, države članice trebale bi utvrditi popis ključnih i važnih subjekata te subjekata koji pružaju usluge registracije naziva domena. U tu bi svrhu države članice od subjekata trebale zahtijevati da nadležnim tijelima dostave barem sljedeće informacije, odnosno ime, adresu i ažurirane podatke za kontakt, uključujući adrese e-pošte, IP raspone i telefonske brojeve subjekta, i, ako je to primjenjivo, relevantni sektor i podsektor iz prilogâ te, ako je to primjenjivo, popis država članica u kojima pružaju usluge obuhvaćene područjem primjene ove Direktive. U tu bi svrhu Komisija, uz pomoć Agencije Europske unije za kibersigurnost (ENISA), trebala bez nepotrebne odgode pružiti smjernice i predloške u vezi s obvezom dostavljanja informacija. Kako bi se olakšalo utvrđivanje i ažuriranje popisa ključnih i važnih subjekata te subjekata koji pružaju usluge registracije naziva domena, države članice trebale bi moći uspostaviti nacionalne mehanizme za registraciju subjekata. Ako na nacionalnoj razini postoje registri, države članice mogu odlučiti o odgovarajućim mehanizmima koji omogućuju utvrđivanje subjekata obuhvaćenih područjem primjene ove Direktive.

(19)

Države članice trebale bi biti odgovorne za to da se Komisiji dostavi barem broj ključnih i važnih subjekata za svaki sektor i podsektor iz prilogâ, zajedno s relevantnim informacijama o broju utvrđenih subjekata te o odredbi iz ove Direktive na temelju koje su utvrđeni i vrsti usluge koju pružaju. Države članice potiču se da s Komisijom razmjenjuju informacije o ključnim i važnim subjektima te, u slučaju kibersigurnosnog incidenta velikih razmjera, relevantne informacije kao što je naziv predmetnog subjekta.

(20)

Komisija bi, u suradnji sa skupinom za suradnju i nakon savjetovanja s relevantnim dionicima, trebala pružiti smjernice o provedbi kriterija koji se primjenjuju na mikropoduzeća i mala poduzeća u svrhu ocjenjivanja jesu li obuhvaćena područjem primjene ove Direktive. Komisija bi također trebala osigurati da se svim mikropoduzećima i malim poduzećima koja su obuhvaćena područjem primjene ove Direktive daju odgovarajuće smjernice. Komisija bi, uz pomoć država članica, mikropoduzećima i malim poduzećima trebala staviti na raspolaganje informacije u tom pogledu.

(21)

Komisija bi, kako bi pomogla državama članicama u provedbi odredaba ove Direktive, mogla pružiti smjernice o području primjene i ocjenjivanju proporcionalnosti mjera koje treba poduzeti u skladu s ovom Direktivom, posebno u pogledu subjekata sa složenim poslovnim modelima ili poslovnim okruženjima, pri čemu subjekt može istodobno ispunjavati kriterije dodijeljene i ključnim i važnim subjektima ili istodobno obavljati djelatnosti od kojih su neke obuhvaćene područjem primjene ove Direktive, a neke isključene iz područja primjene ove Direktive.

(22)

Ovom Direktivom utvrđuju se osnovna razina mjera upravljanja kibersigurnosnim rizicima i obveze izvješćivanja u svim sektorima koji su obuhvaćeni njezinim područjem primjene. Kako bi se izbjegla rascjepkanost odredaba o kibersigurnosti u pravnim aktima Unije, kada se dodatni sektorski pravni akti Unije koji se odnose na mjere upravljanja kibersigurnosnim rizicima i obveze izvješćivanja smatraju nužnima kako bi se osigurala visoka razina kibersigurnosti širom Unije, Komisija bi trebala procijeniti mogu li se takve dodatne odredbe propisati u provedbenom aktu na temelju ove Direktive. Ako takvi provedbeni akti nisu prikladni za tu svrhu, sektorski pravni akti Unije mogli bi doprinijeti osiguravanju visoke razine kibersigurnosti širom Unije, uzimajući pritom u potpunosti u obzir posebnosti i složenosti predmetnih sektora. U tu svrhu, ovom se Direktivom ne sprečava donošenje dodatnih sektorskih pravnih akata Unije koji se odnose na mjere upravljanja kibersigurnosnim rizicima i obveze izvješćivanja koji propisno uzimaju u obzir potrebu za sveobuhvatnim i dosljednim okvirom za kibersigurnost. Ovom se Direktivom ne dovode u pitanje postojeće provedbene ovlasti dodijeljene Komisiji u brojnim sektorima, uključujući promet i energetiku.

(23)

Ako sektorski pravni akti sadržavaju odredbe kojima se od ključnih ili važnih subjekata zahtijeva donošenje mjera upravljanja kibersigurnosnim rizicima ili obavješćivanje o značajnim incidentima i ako su ti zahtjevi barem po učinku jednakovrijedni obvezama utvrđenima u ovoj Direktivi, te bi se odredbe, uključujući odredbe o nadzoru i izvršavanju, trebale primjenjivati na te subjekte. Ako sektorski pravni akt Unije ne obuhvaća sve subjekte u određenom sektoru koji su obuhvaćeni područjem primjene ove Direktive, relevantne odredbe ove Direktive i dalje bi se trebale primjenjivati na subjekte koji nisu obuhvaćeni tim aktom.

(24)

Ako se odredbama sektorskog pravnog akta Unije od ključnih ili važnih subjekata zahtijeva ispunjavanje obveza izvješćivanja koje su barem po učinku jednakovrijedne obvezama izvješćivanja utvrđene u ovoj Direktivi, trebalo bi osigurati dosljednost i djelotvornost postupanja s obavijestima o incidentima. U tu bi svrhu odredbama sektorskog pravnog akta Unije u vezi s obavješćivanjem o incidentima CSIRT-ovima, nadležnim tijelima ili jedinstvenim kontaktnim točkama za kibersigurnost (jedinstvene kontaktne točke) na temelju ove Direktive trebalo omogućiti neposredan pristup obavijestima o incidentima podnesenima u skladu sa sektorskim pravnim aktom Unije. Konkretno, takav se neposredan pristup može osigurati ako se obavijesti o incidentima bez nepotrebne odgode prosljeđuju CSIRT-u, nadležnom tijelu ili jedinstvenoj kontaktnoj točki u skladu s ovom Direktivom. Prema potrebi, države članice trebale bi uspostaviti mehanizam automatskog i izravnog izvješćivanja kojim se osigurava sustavna i neposredna razmjena informacija s CSIRT-ovima, nadležnim tijelima ili jedinstvenim kontaktnim točkama u pogledu postupanja s takvim obavijestima o incidentima. U svrhu pojednostavnjenja izvješćivanja i provedbe mehanizma automatskog i izravnog izvješćivanja, države članice mogle bi se, u skladu sa sektorskim pravnim aktom Unije, koristiti jedinstvenom ulaznom točkom.

(25)

Sektorskim pravnim aktima Unije kojima su predviđene mjere upravljanja kibersigurnosnim rizicima ili obveze izvješćivanja koje su barem po učinku jednakovrijedne onima utvrđenima u ovoj Direktivi moglo bi se predvidjeti da nadležna tijela na temelju takvih akata izvršavaju svoje nadzorne ovlasti i ovlasti izvršavanja u vezi s takvim mjerama ili obvezama uz pomoć nadležnih tijela na temelju ove Direktive. Predmetna nadležna tijela mogla bi u tu svrhu uspostaviti dogovore o suradnji. Takvim dogovorima o suradnji mogli bi se, među ostalim, utvrditi postupci koji se odnose na koordinaciju nadzornih aktivnosti, uključujući postupke istraga i inspekcije na lokaciji u skladu s nacionalnim pravom te mehanizam za razmjenu relevantnih informacija o nadzoru i izvršavanju među nadležnim tijelima, uključujući pristup informacijama povezanima s kibersigurnošću koje zahtijevaju nadležna tijela na temelju ove Direktive.

(26)

Ako se sektorskim pravnim aktima Unije zahtijeva ili se subjektima pružaju poticaji za obavješćivanje o ozbiljnim kiberprijetnjama, države članice trebale bi poticati i razmjenu ozbiljnih kiberprijetnji s CSIRT-ovima, nadležnim tijelima ili jedinstvenim kontaktnim točkama u skladu s ovom Direktivom kako bi se osigurala veća razina osviještenosti tih tijela o kiberprijetnjama i kako bi im se omogućilo da učinkovito i pravodobno odgovore u slučaju da se ozbiljne kiberprijetnje ostvare.

(27)

U budućim sektorskim pravnim aktima Unije trebalo bi uzeti u obzir definicije te okvir za nadzor i izvršavanje utvrđen u ovoj Direktivi.

(28)

Uredbu (EU) 2022/2554 Europskog parlamenta i Vijeća (¹⁰) trebalo bi smatrati sektorskim pravnim aktom Unije u odnosu na ovu Direktivu u pogledu financijskih subjekata. Umjesto odredaba predviđenih ovom Direktivom trebale bi se primjenjivati odredbe Uredbe (EU) 2022/2554 koje se odnose na upravljanje rizicima informacijskih i komunikacijskih tehnologija (IKT), upravljanje IKT incidentima, a posebno izvješćivanje o značajnim IKT incidentima, kao i na testiranje digitalne operativne otpornosti, mehanizme razmjene informacija i IKT rizik treće strane. Države članice stoga ne bi trebale primjenjivati odredbe ove Direktive o upravljanju kibersigurnosnim rizicima i obvezama izvješćivanja te nadzoru i izvršavanju na financijske subjekte obuhvaćene Uredbom (EU) 2022/2554 Istodobno je važno održavati blizak odnos i razmjenu informacija s financijskim sektorom na temelju ove Direktive. U tu svrhu Uredbom (EU) 2022/2554 europskim nadzornim tijelima i nadležnim tijelima na temelju te uredbe omogućuje se sudjelovanje u aktivnostima skupine za suradnju te razmjena informacija i suradnja s jedinstvenim kontaktnim točkama, kao i s CSIRT-ovima i nadležnim tijelima na temelju ove Direktive. Nadležna tijela na temelju Uredbe (EU) 2022/2554 trebala bi i podatke o značajnim IKT incidentima i, ako je to relevantno, ozbiljnim kiberprijetnjama slati CSIRT-ovima, nadležnim tijelima ili jedinstvenim kontaktnim točkama u skladu s ovom Direktivom. To se može postići pružanjem neposrednog pristupa obavijestima o incidentima i prosljeđivanjem tih obavijesti bilo izravno ili putem jedinstvene ulazne točke. Osim toga, države članice trebale bi nastaviti uključivati financijski sektor u svoje strategije za kibersigurnost, a CSIRT-ovi ga mogu obuhvatiti svojim aktivnostima.

(29)

Kako bi se izbjegle praznine u području kibersigurnosnih obveza uvedenih subjektima u zrakoplovnom sektoru ili udvostručavanje tih obveza, nacionalna tijela na temelju uredbi (EZ) br. 300/2008 (¹¹) i (EU) 2018/1139 (¹²) Europskog parlamenta i Vijeća te nadležna tijela na temelju ove Direktive trebala bi surađivati u vezi s provedbom mjera upravljanja kibersigurnosnim rizicima i nadzorom nad usklađenošću s tim mjerama na nacionalnoj razini. Nadležna tijela na temelju ove Direktive mogla bi smatrati da usklađenost subjekta sa sigurnosnim zahtjevima utvrđenima u uredbama (EZ) br. 300/2008 i (EU) 2018/1139 te relevantnim delegiranim i provedbenim aktima donesenima u skladu s tim uredbama predstavlja usklađenost s odgovarajućim zahtjevima utvrđenima u ovoj Direktivi.

(30)

S obzirom na međupovezanost kibersigurnosti i fizičke sigurnosti subjekata, trebalo bi osigurati koherentan pristup između Direktive (EU) 2022/2557 Europskog parlamenta i Vijeća (¹³) i ove Direktive. Kako bi se to postiglo, subjekti utvrđeni kao kritični na temelju Direktive (EU) 2022/2557 trebali bi se smatrati ključnim subjektima na temelju ove Direktive. Osim toga, svaka države članica trebala bi osigurati da se njezinom nacionalnom strategijom za kibersigurnost osigurava okvir politike za bolju koordinaciju u toj državi članici između njezinih nadležnih tijela na temelju ove Direktive i nadležnih tijela na temelju Direktive 2022/2557 u kontekstu razmjene informacija o rizicima, kiberprijetnjama i incidentima te rizicima, prijetnjama i incidentima izvan kiberprostora, kao i izvršavanje nadzornih zadaća. Nadležna tijela na temelju ove Direktive i nadležna tijela na temelju Direktive (EU) 2022/2557 direktiva trebala bi bez nepotrebne odgode surađivati i razmjenjivati informacije, posebno u pogledu utvrđivanja kritičnih subjekata, rizika, kiberprijetnji i incidenata, kao i u vezi s rizicima, prijetnjama i incidentima izvan kiberprostora koji utječu na kritične subjekte, uključujući kibersigurnosne i fizičke mjere koje ti subjekti poduzimaju, kao i rezultate nadzornih aktivnosti provedenih u pogledu takvih subjekata.

Nadalje, kako bi se pojednostavnile nadzorne aktivnosti među nadležnim tijelima na temelju ove Direktive i nadležnih tijela na temelju Direktive (EU) 2022/2557 te kako bi se smanjilo administrativno opterećenje za predmetne subjekte, ta nadležna tijela trebala bi nastojati uskladiti predloške za obavijesti o incidentima i nadzorne postupke. Prema potrebi, nadležna tijela na temelju Direktive (EU) 2022/2557 trebala bi moći zatražiti od nadležnih tijela na temelju ove Direktive da izvršavaju svoje nadzorne ovlasti i ovlasti izvršavanja u vezi s subjektom koji je utvrđen kao kritičan subjekt na temelju Direktive (EU) 2022/2557. Nadležna tijela na temelju ove Direktive i nadležna tijela na temelju Direktive (EU) 2022/2557 po mogućnosti u stvarnom vremenu, trebala bi surađivati i razmjenjivati informacije u tu svrhu.

(31)

Subjekti koji pripadaju sektoru digitalne infrastrukture u suštini se temelje na mrežnim i informacijskim sustavima te bi se stoga obvezama koje su ovom Direktivom uvedene za te subjekte trebalo na sveobuhvatan način obuhvatiti fizičku sigurnost takvih sustava kao dio njihovih mjera upravljanja kibersigurnosnim rizicima i obveza izvješćivanja. S obzirom na to da su ta pitanja obuhvaćena ovom Direktivom, obveze utvrđene u poglavljima III., IV. i VI. Direktive (EU) 2022/2557 ne primjenjuju se na takve subjekte.

(32)

Podrška pouzdanom, otpornom i sigurnom sustavu naziva domena (DNS) i njegovo održavanje ključni su za očuvanje cjelovitosti interneta te njegov kontinuiran i stabilan rad, o kojem ovise digitalno gospodarstvo i društvo. Stoga bi se ova Direktiva trebala primjenjivati na registre naziva vršnih domena i pružatelje usluga DNS-a koje treba shvatiti kao subjekte koji pružaju javno dostupne rekurzivne usluge razlučivanja naziva domena za krajnje korisnike interneta ili mjerodavne usluge razlučivanja naziva domena za treće strane. Ova se Direktiva ne bi trebala primjenjivati na korijenske poslužitelje naziva.

(33)

Usluge računalstva u oblaku trebale bi obuhvaćati digitalne usluge koje omogućuju administraciju na zahtjev i široki daljinski pristup nadogradivom i elastičnom skupu djeljivih računalnih resursa, među ostalim kada su takvi resursi raspoređeni na nekoliko lokacija. Računalni resursi uključuju mreže, poslužitelje ili drugu infrastrukturu, operacijske sustave, softver, pohranu, aplikacije i usluge. Modeli usluga računalstva u oblaku obuhvaćaju, među ostalim, infrastrukturu kao uslugu (IaaS), platformu kao uslugu (PaaS), softver kao uslugu (SaaS) i mrežu kao uslugu (NaaS). Modeli uvođenja računalstva u oblaku trebali bi uključivati privatne, zajedničke, javne i hibridne oblake. Usluga računalstva u oblaku i modeli uvođenja imaju isto značenje kao modeli usluga i uvođenja definirani u normi ISO/IEC 17788:2014. Sposobnost korisnika računalstva u oblaku da jednostrano samostalno pruža računalne kapacitete, kao što je vrijeme korištenja poslužitelja ili mrežna pohrana, bez ljudske interakcije pružatelja usluga računalstva u oblaku, može se opisati kao administracija na zahtjev.

Pojam „široki daljinski pristup” upotrebljava se kako bi se opisalo da se kapaciteti u oblaku osiguravaju preko mreže i da im se pristupa putem mehanizama kojima se promiče upotreba heterogenih tankih ili debelih klijentskih platformi, uključujući mobilne telefone, tablete, prijenosna računala i radne stanice. Pojam „nadogradiv” odnosi se na računalne usluge koje pružatelj usluga u oblaku dodjeljuje fleksibilno, bez obzira na zemljopisni položaj resursa, kako bi se riješile fluktuacije u potražnji. Pojam „elastičan skup” upotrebljava se za opisivanje računalnih resursa koji se pružaju i isporučuju u skladu s potražnjom kako bi se raspoloživi resursi mogli brzo povećati i smanjiti ovisno o radnom opterećenju. Pojam „djeljiv” upotrebljava se za opisivanje računalnih resursa koji se pružaju većem broju korisnika sa zajedničkim pristupom usluzi, pri čemu se obrada provodi odvojeno za svakog korisnika, iako se usluga pruža putem iste elektroničke opreme. Pojam „distribuiran” upotrebljava se za opisivanje računalnih resursa koji se nalaze na različitim umreženim računalima ili uređajima te čija se međusobna komunikacija i koordinacija odvija slanjem poruka.

(34)

S obzirom na razvoj inovativnih tehnologija i novih poslovnih modela, očekuje se da će se na tržištu pojaviti novi modeli usluga računalstva u oblaku i uvođenja kao odgovor na rastuće potrebe korisnika. U tom se kontekstu usluge računalstva u oblaku mogu pružati u vrlo distribuiranom obliku, još bliže mjestu na kojem se podaci generiraju ili prikupljaju, čime se prelazi s tradicionalnog modela na visoko distribuirani model (računalstvo na rubu).

(35)

Usluge koje nude pružatelji usluga podatkovnog centra ne mogu se uvijek pružati u obliku usluge računalstva u oblaku. Stoga podatkovni centri ne mogu uvijek biti dio infrastrukture računalstva u oblaku. Kako bi se upravljalo svim rizicima za sigurnost mrežnih i informacijskih sustava, ovom bi Direktivom trebalo obuhvatiti pružatelje usluga podatkovnog centra koje nisu usluge računalstva u oblaku. Za potrebe ove Direktive, pojam „usluga podatkovnog centra” trebao bi obuhvaćati pružanje usluge koja uključuje strukture ili skupine struktura namijenjenih centraliziranom smještaju, međupovezivanju i radu opreme informacijske tehnologije (IT) i mreže za usluge pohrane, obrade i prijenosa podataka, uključujući sve objekte i infrastrukturu za distribuciju električne energije i kontrolu okoliša. Pojam „usluga podatkovnog centra” ne bi se trebao primjenjivati na interne korporativne podatkovne centre kojima predmetni subjekt u čijem su vlasništvu upravlja za vlastite potrebe.

(36)

Istraživačke aktivnosti imaju ključnu ulogu u razvoju novih proizvoda i procesa. Mnoge od tih aktivnosti provode subjekti koji rezultate svojih istraživanja dijele, šire ili iskorištavaju u komercijalne svrhe. Ti subjekti stoga mogu biti važni akteri u lancima vrijednosti, zbog čega je sigurnost njihovih mrežnih i informacijskih sustava sastavni dio cjelokupne kibersigurnosti unutarnjeg tržišta. Trebalo bi se podrazumijevati da istraživačke organizacije uključuju subjekte koji ključni dio svojih aktivnosti usmjeravaju na provođenje primijenjenog istraživanja ili eksperimentalnog razvoja, u smislu Priručnika Frascati Organizacije za gospodarsku suradnju i razvoj iz 2015.: Smjernice za prikupljanje podataka o istraživanju i eksperimentalnom razvoju i izvješćivanje o njima, s ciljem iskorištavanja njihovih rezultata u komercijalne svrhe, kao što su proizvodnja ili razvoj proizvoda ili procesa, pružanje usluge ili njihovo stavljanje na tržište.

(37)

Rastuće međuovisnosti rezultat su sve veće prekogranične i međuovisne mreže pružanja usluga koja upotrebljava ključnu infrastrukturu u cijeloj Uniji u sektorima kao što su energetika, promet, digitalna infrastruktura, voda za piće i otpadne vode, zdravlje, određeni aspekti javne uprave, kao i u svemirski sektor u pogledu pružanja određenih usluga koje ovise o zemaljskoj infrastrukturi koja je u vlasništvu i kojom upravljaju države članice ili privatne strane te stoga ne obuhvaća infrastrukturu koja je u vlasništvu Unije, kojom Unija upravlja ili kojom se upravlja u ime Unije kao dijelom njezina svemirskog programa. Te međuovisnosti znače da svaki poremećaj, čak i onaj koji je prvotno ograničen na jedan subjekt ili jedan sektor, može imati kaskadne učinke u širem smislu, što može dovesti do dalekosežnih i dugotrajnih negativnih učinaka na pružanje usluga na cijelom unutarnjem tržištu. Intenzivniji kibernapadi tijekom pandemije bolesti COVID-19 pokazali su ranjivost naših sve više međuovisnih društava suočenih s rizicima male vjerojatnosti.

(38)

S obzirom na razlike u nacionalnim upravljačkim strukturama i radi zaštite postojećih sektorskih dogovora ili nadzornih i regulatornih tijela Unije, države članice trebale bi moći imenovati ili uspostaviti jedno ili više nadležnih tijela odgovornih za kibersigurnost i za nadzorne zadaće na temelju ove Direktive.

(39)

Kako bi se olakšala prekogranična suradnja i komunikacija među tijelima i kako bi se omogućila djelotvorna provedba ove Direktive, nužno je da svaka država članica imenuje jedinstvenu kontaktnu točku odgovornu za koordinaciju pitanja sigurnosti mrežnih i informacijskih sustava te za prekograničnu suradnju na razini Unije.

(40)

Jedinstvene kontaktne točke trebale bi osigurati učinkovitu prekograničnu suradnju s relevantnim tijelima drugih država članica i, prema potrebi, s Komisijom i ENISA-om. Jedinstvene kontaktne točke stoga bi trebale biti zadužene za prosljeđivanje obavijesti o značajnim incidentima s prekograničnim učinkom jedinstvenim kontaktnim točkama drugih pogođenih država članica na zahtjev CSIRT-a ili nadležnog tijela. Na nacionalnoj razini jedinstvene kontaktne točke trebale bi omogućiti neometanu međusektorsku suradnju s drugim nadležnim tijelima. Jedinstvene kontaktne točke mogle bi također bi primati relevantne informacije o incidentima koji se odnose na subjekte financijskog sektora od nadležnih tijela na temelju Uredbe (EU) 2022/2554, koje bi, prema potrebi, trebale moći proslijediti CSIRT-ovima ili nacionalnim nadležnim tijelima iz ove Direktive.

(41)

Države članice trebale bi biti dostatno opremljene, u smislu tehničkih i organizacijskih sposobnosti, za sprečavanje i otkrivanje incidenata i rizika, reagiranje na njih te za ublažavanje njihova učinka. Države članice stoga bi trebale uspostaviti ili imenovati jedan ili više CSIRT-ova na temelju ove Direktive i osigurati da imaju odgovarajuće resurse i tehničke sposobnosti. CSIRT-ovi bi trebali poštovati zahtjeve utvrđene u ovoj Direktivi kako bi se zajamčile djelotvorne i uskladive sposobnosti za rješavanje incidenata i rizika te kako bi se osigurala učinkovita suradnja na razini Unije. Države članice trebale bi moći kao CSIRT-ove imenovati postojeće timove za hitne računalne intervencije (CERT-ovi). U cilju jačanja odnosa povjerenja između subjekata i CSIRT-ova, u slučajevima kada je CSIRT dio nadležnog tijela, države članice trebale bi moći razmotriti funkcionalno odvajanje operativnih zadaća koje obavljaju CSIRT-ovi, posebno u vezi s razmjenom informacija i podrškom koja se pruža subjektima, te nadzornih aktivnosti nadležnih tijela.

(42)

CSIRT-ovi su zaduženi za postupanje s incidentima. To uključuje obradu velikih količina ponekad osjetljivih podataka. Države članice trebale bi osigurati da CSIRT-ovi raspolažu infrastrukturom za razmjenu i obradu informacija kao i dobro opremljenim osobljem, čime se osigurava povjerljivost i pouzdanost njihovih operacija. CSIRT-ovi bi mogli donijeti i kodekse ponašanja u tom pogledu.

(43)

Kad je riječ o osobnim podacima, CSIRT-ovi bi, u skladu s Uredbom (EU) 2016/679, na zahtjev ključnog ili važnog subjekta, trebali moći osigurati proaktivno skeniranje mrežnih i informacijskih sustava koji se upotrebljavaju za pružanje usluga subjekta. Ako je to primjenjivo, države članice trebale bi nastojati osigurati jednaku razinu tehničkih sposobnosti za sve sektorske CSIRT-ove. Države članice trebale bi moći zatražiti podršku ENISA-e u razvijanju svojih CSIRT-ova.

(44)

CSIRT-ovi bi trebali imati mogućnost na zahtjev ključnog ili važnog subjekta pratiti imovinu subjekta s internetskim sučeljem, kako u fizičkim prostorima tako i izvan njih, kako bi utvrdili i razumjeli ukupne organizacijske rizike subjekta u pogledu novootkrivenih slučajeva ugrožavanja lanaca opskrbe ili kritičnih ranjivosti te upravljali njima. Subjekt bi trebalo poticati da obavijesti CSIRT o tome ima li povlašteno upravljačko sučelje jer bi to moglo utjecati na brzinu poduzimanja mjera ublažavanja.

(45)

S obzirom na važnost međunarodne suradnje za kibersigurnost, CSIRT-ovi bi trebali moći, uz mrežu CSIRT-ova uspostavljenu ovom Direktivom, sudjelovati i u međunarodnim mrežama suradnje. Stoga bi CSIRT-ovi i nadležna tijela za potrebe obavljanja svojih zadaća trebali moći razmjenjivati informacije, uključujući osobne podatke, s nacionalnim timovima za odgovor na računalne sigurnosne incidente ili nadležnim tijelima trećih zemalja pod uvjetom da su ispunjeni uvjeti iz prava Unije o zaštiti podataka za prijenose osobnih podataka trećim zemljama, među ostalim uvjeti iz članka 49. Uredbe (EU) 2016/679.

(46)

Ključno je osigurati odgovarajuće resurse za ispunjavanje ciljeva ove Direktive i omogućavanje nadležnim tijelima i CSIRT-ovima izvršavanje u njoj utvrđenih zadaća. Države članice mogu na nacionalnoj razini uvesti mehanizam financiranja za pokrivanje potrebnih rashoda povezanih s obavljanjem zadaća javnih tijela odgovornih za kibersigurnost u državi članici u skladu s ovom Direktivom. Takav mehanizam trebao bi biti u skladu s pravom Unije i trebao bi biti razmjeran i nediskriminirajući te uzeti u obzir različite pristupe pružanju sigurnih usluga.

(47)

Mreža CSIRT-ova trebala bi nastaviti doprinositi jačanju povjerenja i pouzdanja te promicati brzu i djelotvornu operativnu suradnju među državama članicama. Kako bi se poboljšala operativna suradnja na razini Unije, mreža CSIRT-ova trebala bi razmotriti mogućnost pozivanja tijela i agencija Unije uključenih u politiku kibersigurnosti, kao što je Europol, da sudjeluju u njezinu radu.

(48)

U svrhu postizanja i održavanja visoke razine kibersigurnosti, nacionalne strategije za kibersigurnost koje se zahtijevaju ovom Direktivom trebale bi se sastojati od koherentnih okvira kojima se pružaju strateški ciljevi i prioriteti u području kibersigurnosti i upravljanja u cilju njihova postizanja. Te strategije mogu se sastojati od jednog ili više zakonodavnih ili nezakonodavnih instrumenata.

(49)

Politikama o kiberhigijeni pružaju se temelji za zaštitu infrastruktura mrežnih i informacijskih sustava, sigurnost hardvera, softvera i internetskih aplikacija te poslovnih podataka ili podataka krajnjih korisnika na koje se subjekti oslanjaju. Politike o kiberhigijeni sastoje se od zajedničkog temeljnog skupa praksi koje uključuju ažuriranja softvera i hardvera, promjene lozinki, upravljanje novim instalacijama, ograničenje računa za pristup na razini administratora i sigurnosno kopiranje podataka, te se njima omogućuje stvaranje proaktivnog okvira za pripravnost i opću sigurnost u slučaju incidenata ili kiberprijetnji. ENISA bi trebala pratiti i analizirati politike država članica u području kiberhigijene.

(50)

Svijest o kibersigurnosti i kiberhigijena ključni su za povećanje razine kibersigurnosti u Uniji, posebno s obzirom na sve veći broj povezanih uređaja koji se sve više upotrebljavaju u kibernapadima. Trebalo bi uložiti napore kako bi se povećala opća svijest o rizicima povezanima s takvim proizvodima, dok bi ocjenjivanja na razini Unije mogla pomoći u osiguravanju zajedničkog razumijevanja takvih rizika na unutarnjem tržištu.

(51)

Države članice trebale bi poticati upotrebu svih inovativnih tehnologija čija bi upotreba mogla poboljšati otkrivanje i sprečavanje kibernapada, uključujući umjetnu inteligenciju, čime bi se omogućilo učinkovitije preusmjeravanje resursa na kibernapade. Stoga bi države članice u svojim nacionalnim strategijama za kibersigurnost trebale poticati aktivnosti u području istraživanja i razvoja kako bi olakšale upotrebu takvih tehnologija, posebno onih koje se odnose na automatizirane ili poluautomatizirane alate u području kibersigurnosti, i, prema potrebi, razmjenu podataka potrebnih za osposobljavanje korisnika takve tehnologije i njezino poboljšanje. Upotreba svih inovativnih tehnologija, uključujući umjetnu inteligenciju, trebala bi biti u skladu s pravom Unije o zaštiti podataka, uključujući načela zaštite podataka u pogledu točnosti podataka, smanjenja količine podataka, pravednosti i transparentnosti te sigurnosti podataka, kao što je najsuvremenije kriptiranje. Trebalo bi se u potpunosti koristiti zahtjevima za tehničku i integriranu zaštitu podataka utvrđenima u Uredbi (EU) 2016/679.

(52)

Alatima i aplikacijama za kibersigurnost otvorenoga koda može se doprinijeti višem stupnju otvorenosti i stvarati pozitivan učinak na učinkovitost industrijskih inovacija. Otvoreni standardi olakšavaju interoperabilnost između sigurnosnih alata, pogodujući sigurnosti industrijskih dionika. Alati i aplikacije za kibersigurnost otvorenog koda mogu utjecati na širu zajednicu programera, omogućujući diversifikaciju dobavljača. Otvoreni kod može dovesti do transparentnijeg procesa provjere alata koji se odnose na kibersigurnost i procesa otkrivanja ranjivosti koji pokreće zajednica. Države članice stoga bi trebale moći promicati usvajanje softvera otvorenog koda i otvorenih standarda provođenjem politika koje se odnose na korištenje otvorenih podataka i otvorenog koda kao dijela sigurnosti pomoću transparentnosti. Politike koje promiču uvođenje i održivu upotrebu alata za kibersigurnost otvorenog koda od posebne su važnosti za mala i srednja poduzeća koja se suočavaju sa znatnim troškovima provedbe, koje bi mogli minimalizirati smanjenjem potrebe za posebnim aplikacijama ili alatima.

(53)

Komunalne usluge sve su više povezane s digitalnim mrežama u gradovima u svrhu poboljšanja mreža gradskog prijevoza, nadogradnje infrastrukture za opskrbu vodom i zbrinjavanje otpada te povećanja učinkovitosti rasvjete i grijanja zgrada. Te digitalizirane komunalne usluge podložne su kibernapadima te, u slučaju da su ti napadi uspješni, građanima prijeti velika šteta zbog njihove međusobne povezanosti. Države članice trebale bi u okviru svojih nacionalnih strategija za kibersigurnost razviti politiku koja se bavi razvojem takvih povezanih ili pametnih gradova i njihovim mogućim učincima na društvo.

(54)

Posljednjih se godina Unija suočila s eksponencijalnim porastom napada ucjenjivačkim softverom, u kojima zlonamjerni softver kriptira podatke i sustave te zahtijeva plaćanje otkupnine kako bi ih odblokirao. Sve veća učestalost i ozbiljnost napada ucjenjivačkim softverom može biti posljedica nekoliko čimbenika, kao što su različiti obrasci napada, kriminalni poslovni modeli povezani s „ucjenjivačkim softverom kao uslugom” i kriptovalutama, zahtjevi za otkupninu te porast napada u lancu opskrbe. Države članice trebale bi u okviru svojih nacionalnih strategija za kibersigurnost donijeti politike za rješavanje porasta napada ucjenjivačkim softverom.

(55)

Javno-privatna partnerstva u području kibersigurnosti mogu pružiti odgovarajući okvir za razmjenu znanja i najbolje prakse te uspostavljanje zajedničke razine razumijevanja među dionicima. Države članice trebale bi promicati politike kojima se potiče uspostava javno-privatnih partnerstava za kibersigurnost. Kad je riječ o javno-privatnim partnerstvima, tim bi se politikama, među ostalim, trebali razjasniti područje primjene i uključeni dionici, model upravljanja, dostupne mogućnosti financiranja i interakcija među uključenim dionicima. Javno-privatna partnerstva mogu se koristiti stručnim znanjem subjekata iz privatnog sektora kako bi pomogla nadležnim tijelima u razvoju najsuvremenijih usluga i procesa koji uključuju razmjenu informacija, rana upozorenja, vježbe za slučajeve kiberprijetnji i kiberincidenata, upravljanje rizicima i planiranje otpornosti.

(56)

U svojim nacionalnim strategijama za kibersigurnost, države članice trebale bi riješiti pitanje posebnih potreba malih i srednjih poduzeća u području kibersigurnosti. Mala i srednja poduzeća predstavljaju, širom Unije, velik postotak industrijskog i poslovnog tržišta i često nailaze na poteškoće u prilagodbi novim poslovnim praksama u povezanijem svijetu i digitalnom okruženju s obzirom na to da zaposlenici rade od kuće, a poslovanje se sve više vodi na internetu. Neka se mala i srednja poduzeća suočavaju s posebnim izazovima u području kibersigurnosti, kao što su slaba osviještenost o kibersigurnosti, nedostatak informatičke sigurnosti na daljinu, visok trošak kibersigurnosnih rješenja i povećana razina prijetnje, kao što su ucjenjivački softveri, te bi trebali primiti smjernice i potporu. Mala i srednja poduzeća sve više postaju meta napada u lancu opskrbe zbog svojih manje strogih mjera upravljanja kibersigurnosnim rizicima i upravljanja napadima te činjenice da imaju ograničene resurse za sigurnost. Takvi napadi u lancu opskrbe ne utječu samo na mala i srednja poduzeća i njihovo poslovanje, već mogu imati i kaskadni učinak na veće napade na subjekte kojima isporučuju robu. Države članice trebale bi kroz svoje nacionalne strategije za kibersigurnost pomoći malim i srednjim poduzećima u rješavanju izazova s kojima se suočavaju u svojim lancima opskrbe. Države članice trebale bi na nacionalnoj ili regionalnoj razini imati kontaktnu točku za mala i srednja poduzeća koja pruža smjernice i pomoć malim i srednjim poduzećima ili ih usmjerava na odgovarajuća tijela koja pružaju smjernice i pomoć u pogledu pitanja povezanih s kibersigurnošću. Države članice također se potiču da ponude usluge kao što su omogućavanje konfiguracije internetskih stranica i bilježenja podataka za mikropoduzeća i mala poduzeća kojima nedostaju te mogućnosti.

(57)

U okviru svojih nacionalnih strategija za kibersigurnost države članice trebale bi donijeti politike o promicanju aktivne kiberzaštite kao dijela šire obrambene strategije. Umjesto reaktivnog odgovora, kiberzaštita podrazumijeva aktivno sprečavanje, otkrivanje, praćenje, analizu i ublažavanje povreda sigurnosti mreže, u kombinaciji s upotrebom kapaciteta koji se primjenjuju unutar i izvan mreže koja je žrtva kibernapada. To bi, među ostalim, moglo uključivati mogućnost da države članice određenim subjektima ponude besplatne usluge ili alate, uključujući samoposlužne provjere, alate za otkrivanje i usluge uklanjanja. Sposobnost brze i automatske razmjene i razumijevanja informacija o prijetnji i analize prijetnji, upozorenja o kiberaktivnostima i odgovora ključna je za omogućivanje udruženih napora za uspješno sprečavanje, otkrivanje, rješavanje i blokiranje napada na mrežne i informacijske sustave. Aktivna kiberzaštita temelji se na strategiji obrane u kojoj su isključene ofenzivne mjere.

(58)

Budući da iskorištavanje ranjivosti u mrežnim i informacijskim sustavima može uzrokovati znatne poremećaje i štetu, brzo prepoznavanje i otklanjanje takvih ranjivosti važan je čimbenik u smanjenju rizika. Subjekti koji razvijaju mrežne i informacijske sustave ili upravljaju njima trebali bi stoga uspostaviti odgovarajuće postupke za postupanje s ranjivostima kada ih se otkrije. Budući da ranjivosti često prepoznaju i otkrivaju treće strane, proizvođač ili pružatelj IKT proizvoda ili IKT usluga trebao bi uspostaviti i postupke potrebne za primanje informacija o ranjivosti od trećih strana. U tom pogledu međunarodne norme ISO/IEC 30111 i ISO/IEC 29147 pružaju smjernice o postupanju s ranjivostima i otkrivanju ranjivosti. Jačanje koordinacije između fizičkih i pravnih osoba koji podliježu obvezi izvješćivanja i proizvođača ili pružatelja IKT proizvoda ili IKT usluga posebno je važno u svrhu olakšavanja dobrovoljnog okvira otkrivanja ranjivosti. Koordinirano otkrivanje ranjivosti odvija se strukturiranim postupkom u okviru kojeg se ranjivosti prijavljuju proizvođaču ili pružatelju potencijalno ranjivih IKT proizvoda ili IKT usluga na način kojim im se omogućuje dijagnosticiranje i otklanjanje ranjivosti prije nego što se detaljne informacije o ranjivosti otkriju trećim stranama ili javnosti. Koordinirano otkrivanje ranjivosti trebalo bi obuhvaćati i koordinaciju između fizičke ili pravne osobe koja podliježe obvezi izvješćivanja i proizvođača ili pružatelja potencijalno ranjivih IKT proizvoda ili IKT usluga u pogledu vremena otklanjanja i objave ranjivosti.

(59)

Komisija, ENISA i države članice trebale bi nastaviti poticati usklađivanje s međunarodnim normama i postojećim najboljim praksama u industriji u području upravljanja kibersigurnosnim rizicima, na primjer u područjima procjene sigurnosti lanca opskrbe, razmjene informacija i otkrivanja ranjivosti.

(60)

Države članice trebale bi, u suradnji s ENISA-om, poduzeti mjere za olakšavanje koordiniranog otkrivanja ranjivosti uspostavom relevantne nacionalne politike. U okviru svojih nacionalnih politika i u skladu s nacionalnim pravom države članice trebale bi, u mjeri u kojoj je to moguće, nastojati odgovoriti na izazove s kojima se suočavaju oni koji istražuju ranjivosti, uključujući njihovu moguću izloženost kaznenoj odgovornosti. S obzirom na to da bi fizičke i pravne osobe koje istražuju ranjivosti u nekim državama članicama mogle biti izložene kaznenoj i građanskopravnoj odgovornosti, države članice potiču se da donesu smjernice u pogledu neprovođenja kaznenog progona istraživača u području informacijske sigurnosti i izuzeća od građanskopravne odgovornosti za njihove aktivnosti.

(61)

Države članice trebale bi jednog od svojih CSIRT-ova imenovati koordinatorom koji će prema potrebi djelovati kao pouzdani posrednik između fizičkih i pravnih osoba koje podliježu obvezi izvješćivanja i proizvođača ili pružatelja IKT proizvoda ili IKT usluga na koje će vjerojatno utjecati ranjivost. Zadaće CSIRT-a koji je imenovan koordinatorom trebale bi uključivati utvrđivanje predmetnih subjekata i kontaktiranje s njima, pomaganje fizičkim ili pravnim osobama koje prijavljuju ranjivost, pregovaranje o vremenskom okviru za otkrivanje i upravljanje ranjivostima koje utječu na više subjekata (koordinirano otkrivanje ranjivosti koje uključuje više strana). U slučajevima u kojima bi prijavljena ranjivost mogla imati znatan učinak na subjekte u više država članica, CSIRT-ovi koji su imenovani koordinatorima trebali bi, prema potrebi, surađivati u okviru mreže CSIRT-ova.

(62)

Pristup točnim i pravodobnim informacijama o ranjivostima koje utječu na IKT proizvode i IKT usluge doprinosi boljem upravljanju kibersigurnosnim rizicima. Izvori javno dostupnih informacija o ranjivostima važan su alat za subjekte i korisnike njihovih usluga, ali i za nadležna tijela i CSIRT-ove. Zbog toga bi ENISA trebala uspostaviti europsku bazu podataka o ranjivosti u kojoj subjekti, neovisno o tome jesu li obuhvaćeni područjem primjene ove Direktive, i njihovi dobavljači mrežnih i informacijskih sustava, kao i nadležna tijela i CSIRT-ovi, mogu na dobrovoljnoj osnovi otkriti i registrirati javno poznate ranjivosti kako bi se korisnicima omogućilo da poduzmu odgovarajuće mjere ublažavanja. Cilj je te baze podataka riješiti jedinstvene izazove koje rizici predstavljaju za subjekte u Uniji. Nadalje, ENISA bi trebala uspostaviti odgovarajuću proceduru u vezi s postupkom objavljivanja kako bi subjektima dala vremena da poduzmu mjere za ublažavanje svojih ranjivosti i upotrijebe najsuvremenije mjere upravljanja kibersigurnosnim rizicima, kao i strojno čitljive skupove podataka i odgovarajuća sučelja. Kako bi se potaknula kultura otkrivanja ranjivosti, objavljivanje ne bi smjelo imati štetne učinke na fizičku ili pravnu osobu koja podliježe obvezi izvješćivanja.

(63)

Iako slični registri ili baze podataka o ranjivosti postoje, na poslužitelju ih smještaju i vode subjekti koji nemaju poslovni nastan u Uniji. Europska baza podataka o ranjivosti koju bi vodila ENISA omogućila bi veću transparentnost u pogledu postupka objavljivanja prije javnog otkrivanja ranjivosti i otpornost u slučaju poremećaja ili prekida u pružanju sličnih usluga. Kako bi se, u mjeri u kojoj je to moguće, izbjeglo udvostručavanje napora i postigla komplementarnost, ENISA bi trebala istražiti mogućnost sklapanja sporazuma o strukturiranoj suradnji sa sličnim registrima ili bazama podataka koji su u nadležnosti trećih zemalja. ENISA bi posebno trebala istražiti mogućnost bliske suradnje s operatorima sustava čestih ranjivosti i izloženosti (CVE).

(64)

Skupina za suradnju trebala bi podupirati i olakšavati stratešku suradnju i razmjenu informacija te jačati povjerenje među državama članicama. Skupina za suradnju trebala bi svake dvije godine uspostaviti program rada. Taj bi program rada trebao sadržavati mjere koje skupina mora poduzeti radi provedbe svojih ciljeva i zadaća. Vremenski okvir za donošenje prvog programa na temelju ove Direktive trebalo bi uskladiti s vremenskim okvirom posljednjeg programa donesenog na temelju Direktive (EU) 2016/1148 kako bi se izbjegli mogući poremećaji u radu skupine za suradnju.

(65)

Prilikom izrade smjernica, skupina za suradnju trebala bi biti dosljedna u mapiranju nacionalnih rješenja i iskustava, procjenjivanju učinka rezultata skupine za suradnju na nacionalne pristupe, raspravljanju o izazovima u provedbi i izradi posebnih preporuka koje će se nastojati ispuniti boljom provedbom postojećih pravila, osobito u pogledu lakšeg usklađivanja prilikom prenošenja ove Direktive u državama članicama. Skupina za suradnju mogla bi mapirati i nacionalna rješenja kako bi promicala kompatibilnost kibersigurnosnih rješenja koja se primjenjuju u svakom pojedinom sektoru širom Unije. To je od osobite važnosti za sektore međunarodne i prekogranične prirode.

(66)

Skupina za suradnju trebala bi ostati fleksibilan forum i trebala bi moći odgovoriti na nove i promjenjive političke prioritete i izazove, uzimajući pritom u obzir raspoloživost resursa. Mogla bi organizirati redovite zajedničke sastanke s relevantnim privatnim dionicima širom Unije na kojima bi se raspravljalo o aktivnostima skupine za suradnju i prikupljali podaci i informacije o novim izazovima u pogledu politike. Osim toga, skupina za suradnju trebala bi provoditi redovitu procjenu stanja kiberprijetnji ili kiberincidenata, kao što je ucjenjivački softver. Kako bi se poboljšala suradnja na razini Unije, skupina za suradnju trebala bi razmotriti mogućnost pozivanja relevantnih institucija, tijela, ureda i agencija Unije uključenih u politiku kibersigurnosti, kao što su Europski parlament, Europol, Europski odbor za zaštitu podataka, Agencija Europske unije za sigurnost zračnog prometa osnovana Uredbom (EU) 2018/1139 i Agencija Europske unije za svemirski program, osnovana Uredbom (EU) 2021/696 Europskog parlamenta i Vijeća (¹⁴), da sudjeluju u njezinu radu.

(67)

Nadležna tijela i CSIRT-ovi trebali bi moći sudjelovati u programima razmjene za službenike iz drugih država članica, unutar posebnog okvira i, ako je to primjenjivo, podložno potrebnoj sigurnosnoj provjeri službenika koji sudjeluju u takvim programima razmjene, u cilju poboljšanja suradnje i jačanja povjerenja među državama članicama. Nadležna tijela trebala bi poduzeti potrebne mjere kako bi službenicima iz drugih država članica omogućila da imaju djelotvornu ulogu u aktivnostima nadležnog tijela domaćina ili CSIRT-a domaćina.

(68)

Države članice trebale bi doprinijeti uspostavi okvira EU-a za odgovor na kiberkrize utvrđenog u Preporuci Komisije (EU) 2017/1584 (¹⁵) putem postojećih mreža suradnje, posebno Europske mreže organizacija za vezu za kiberkrize (mreža EU-CyCLONe), mreže CSIRT-ova i skupine za suradnju. Mreža EU-CyCLONe i mreža CSIRT-ova trebali bi surađivati na temelju postupovnih aranžmana kojima se utvrđuju detalji te suradnje i izbjegavati udvostručavanje zadaća. U poslovniku mreže EU-CyCLONe trebalo bi dodatno utvrditi načine funkcioniranja mreže, uključujući uloge te mreže, oblike suradnje, interakcije s drugim relevantnim akterima i predloške za razmjenu informacija, kao i sredstva komunikacije. Za upravljanje krizama na razini Unije relevantne stranke trebale bi se oslanjati na aranžmane EU-a za integrirani politički odgovor na krizu na temelju Provedbene odluke Vijeća (EU) 2018/1993 (¹⁶) (aranžmani za IPCR). Komisija bi u tu svrhu trebala primjenjivati međusektorski postupak koordiniranja krize na visokoj razini ARGUS. Ako kriza ima znatan utjecaj na vanjsku ili zajedničku sigurnosnu i obrambenu politiku, trebalo bi aktivirati mehanizam za odgovor na krize Europske službe za vanjsko djelovanje.

(69)

U skladu s Prilogom Preporuci (EU) 2017/1584, kibersigurnosni incident velikih razmjera trebao bi značiti incident koji uzrokuje razinu poremećaja koja premašuje sposobnost države članice da na njega odgovori ili koji ima znatan učinak na najmanje dvije države članice. Ovisno o svojem uzroku i utjecaju, kibersigurnosni incidenti velikih razmjera mogu se proširiti i pretvoriti u prave krize koje onemogućavaju pravilno funkcioniranje unutarnjeg tržišta ili predstavljaju ozbiljne rizike za javnu sigurnost i zaštitu za subjekte ili građane u nekoliko država članica ili u Uniji u cjelini. S obzirom na širok opseg i, u većini slučajeva, prekograničnu prirodu takvih incidenata, države članice i relevantne institucije, tijela, uredi i agencije Unije trebali bi surađivati na tehničkoj, operativnoj i političkoj razini kako bi pravilno koordinirali odgovor širom Unije.

(70)

Kibersigurnosni incidenti velikih razmjera i krize na razini Unije zahtijevaju koordinirano djelovanje kako bi se osigurao brz i učinkovit odgovor zbog visokog stupnja međuovisnosti između sektora i država članica. Dostupnost mreža i informacijskih sustava otpornih na kibernapade te dostupnost, povjerljivost i cjelovitost podataka ključni su za sigurnost Unije i zaštitu njezinih građana, poduzeća i institucija od incidenata i kiberprijetnji, kao i za jačanje povjerenja pojedinaca i organizacija u sposobnost Unije da promiče i štiti globalan, otvoren, slobodan, stabilan i siguran kiberprostor utemeljen na ljudskim pravima, temeljnim slobodama, demokraciji i vladavini prava.

(71)

Mreža EU-CyCLONe trebala bi djelovati kao posrednik između tehničke i političke razine tijekom kibersigurnosnih incidenata velikih razmjera i kriza te poboljšati suradnju na operativnoj razini i podupirati donošenje odluka na političkoj razini. U suradnji s Komisijom i s obzirom na njezinu nadležnost u području upravljanja krizama, mreža EU-CyCLONe trebala bi se nadovezati na nalaze mreže CSIRT-ova i koristiti se vlastitim kapacitetima pri izradi analize učinka kibersigurnosnih incidenata velikih razmjera i kriza.

(72)

Kibernapadi su prekogranične naravi, a značajan incident može poremetiti i oštetiti ključne informacijske infrastrukture o kojima ovisi neometano funkcioniranje unutarnjeg tržišta. Preporuka (EU) 2017/1584 bavi se ulogom svih relevantnih dionika. Nadalje, Komisija je u okviru Mehanizma Unije za civilnu zaštitu uspostavljenog Odlukom br. 1313/2013/EU Europskog parlamenta i Vijeća (¹⁷) odgovorna za opća djelovanja u području pripravnosti, uključujući upravljanje Koordinacijskim centrom za odgovor na hitne situacije i Zajedničkim komunikacijskim i informacijskim sustavom za hitne situacije, održavanje i daljnji razvoj sposobnosti za informiranost o stanju i njegovu analizu te uspostavu i upravljanje sposobnošću za mobilizaciju i slanje timova stručnjaka u slučaju zahtjeva za pomoć države članice ili treće zemlje. Komisija je odgovorna i za dostavljanje analitičkih izvješća za aranžmane za politički odgovor na krizu (IPCR) u skladu s Provedbenom odlukom (EU) 2018/1993, među ostalim u pogledu informiranosti o stanju i pripravnosti u području kibersigurnosti, kao i za informiranost o stanju i odgovor na krizu u područjima poljoprivrede, nepovoljnih vremenskih uvjeta, mapiranja i predviđanja sukoba, sustava ranog upozoravanja na prirodne katastrofe, zdravstvenih hitnih stanja, nadzora zaraznih bolesti, zdravlja bilja, kemijskih incidenata, sigurnosti hrane i hrane za životinje, zdravlja životinja, migracija, carina, nuklearnih i radioloških hitnih stanja te energije.

(73)

Unija prema potrebi može sklapati međunarodne sporazume s trećim zemljama ili međunarodnim organizacijama, u skladu s člankom 218. UFEU-a, kojima im se dopušta i organizira sudjelovanje u posebnim aktivnostima skupine za suradnju, mreže CSIRT-ova te mreže EU-CyCLONe. Takvim bi se sporazumima trebali osigurati interesi Unije i odgovarajuća zaštita podataka. Time se države članice ne bi trebalo spriječiti da ostvaruju pravo na suradnju s trećim zemljama u području upravljanja ranjivostima i kibersigurnosnim rizicima, čime se olakšava izvješćivanje i razmjena općih informacija u skladu s pravom Unije.

(74)

Kako bi se olakšala djelotvorna provedba Direktive u pogledu, među ostalim, upravljanja ranjivostima, mjera upravljanja kibersigurnosnim rizicima, obveza izvješćivanja i mehanizama za razmjenu informacija u području kibersigurnosti, države članice mogu surađivati s trećim zemljama i poduzimati aktivnosti koje se smatraju primjerenima u tu svrhu, uključujući razmjenu informacija o kiberprijetnjama, incidentima, ranjivostima, alatima i metodama, taktikama, tehnikama i postupcima, pripravnosti i vježbama za upravljanje kibersigurnosnom krizom, osposobljavanju, izgradnji povjerenja i strukturiranim mehanizmima za razmjenu informacija.

(75)

Trebalo bi uvesti istorazinska ocjenjivanja kako bi se pomoglo u stjecanju znanja iz zajedničkih iskustava, jačanju uzajamnog povjerenja i postizanju visoke zajedničke razine kibersigurnosti. Istorazinska ocjenjivanja mogu rezultirati dragocjenim uvidima i preporukama kojima se jačaju sveukupni kapaciteti u području kibersigurnosti, stvarajući još jedan funkcionalan način za razmjenu najboljih praksi među državama članicama i doprinoseći većim razinama zrelosti država članica u području kibersigurnosti. Nadalje, pri istorazinskom ocjenjivanju trebalo bi uzeti u obzir rezultate sličnih mehanizama, kao što je sustav istorazinskog ocjenjivanja mreže CSIRT-ova, te bi trebalo stvoriti dodatnu vrijednost i izbjeći udvostručavanje. Pri provedbi istorazinskog ocjenjivanja ne bi se trebalo dovesti u pitanje pravo Unije ili nacionalno pravo o zaštiti povjerljivih i klasificiranih podataka.

(76)

Skupina za suradnju trebala bi uspostaviti metodologiju za samoocjenu za države članice kako bi obuhvatila čimbenike kao što su razina provedbe mjera upravljanja kibersigurnosnim rizicima i obveza izvješćivanja, razina sposobnosti i djelotvornosti izvršavanja zadaća nadležnih tijela, operativne sposobnosti CSIRT-ova, razina provedbe uzajamne pomoći, razina provedbe mehanizama za razmjenu informacija o kibersigurnosti ili specifična pitanja prekogranične ili međusektorske prirode. Države članice trebalo bi poticati da redovito provode samoocjene te da u okviru skupine za suradnju predstavljaju rezultate svoje samoocjene i raspravljaju o njima.

(77)

Ključni i važni subjekti u velikoj mjeri snose odgovornost za osiguravanje sigurnosti mrežnih i informacijskih sustava. Trebalo bi promicati i razvijati kulturu upravljanja rizicima, uključujući procjene rizika i provedbu mjera upravljanja kibersigurnosnim rizicima primjerenih rizicima s kojima se suočava.

(78)

Mjerama upravljanja kibersigurnosnim rizicima trebalo bi uzeti u obzir stupanj ovisnosti ključnog ili važnog subjekta o mrežnim i informacijskim sustavima te bi one trebale uključivati mjere za utvrđivanje rizika od incidenata, sprečavanje i otkrivanje incidenata te odgovor na njih i oporavak od njih kao i ublažavanje njihova učinka. Sigurnost mrežnih i informacijskih sustava trebala bi uključivati sigurnost podataka koji se pohranjuju, prenose i obrađuju. Mjere upravljanja kibersigurnosnim rizicima trebale bi osigurati sustavnu analizu, uzimajući u obzir ljudski faktor, kako bi se stekla cjelovita slika sigurnosti mrežnog i informacijskog sustava.

(79)

Budući da prijetnje sigurnosti mrežnih i informacijskih sustava mogu biti različitog podrijetla, mjere upravljanja kibersigurnosnim rizicima trebale bi se temeljiti na pristupu kojim se uzimaju u obzir sve opasnosti i čiji je cilj zaštita mrežnih i informacijskih sustava i fizičkog okruženja tih sustava od događaja kao što su krađa, požar, poplava, prekid u telekomunikacijama ili prekid opskrbe električnom energijom ili od bilo kojeg neovlaštenog fizičkog pristupa te oštećenja i ometanja podataka i objekata za obradu podataka ključnog ili važnog subjekta koji bi mogli ugroziti dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga koji se nude i kojima se pristupa putem mrežnih i informacijskih sustava. Mjere upravljanja kibersigurnosnim rizicima trebale bi se stoga odnositi i na fizičku sigurnost i sigurnost okruženja mrežnih i informacijskih sustava tako što će uključivati mjere zaštite tih sustava od kvarova u sustavu, ljudske pogreške, zlonamjernih radnji ili prirodnih pojava u skladu s europskim ili međunarodnim normama, kao što su one iz serije ISO/IEC 27000. U tom pogledu ključni i važni subjekti bi se u okviru svojih mjera upravljanja kibersigurnosnim rizicima trebali baviti i sigurnošću ljudskih resursa te bi trebali uspostaviti odgovarajuće politike kontrole pristupa. Te bi mjere trebale biti u skladu s Direktivom (EU) 2022/2557.

(80)

Za potrebu dokazivanja usklađenosti s mjerama upravljanja kibersigurnosnim rizicima i u nedostatku odgovarajućih europskih programa kibersigurnosne certifikacije donesenih u skladu s Uredbom (EU) 2019/881 Europskog parlamenta i Vijeća (¹⁸), države članice trebale bi, uz savjetovanje sa skupinom za suradnju i Europskom skupinom za kibersigurnosnu certifikaciju, promicati upotrebu relevantnih europskih i međunarodnih normi od strane ključnih i važnih subjekata ili pak mogu od subjekata zahtijevati korištenje certificiranih IKT proizvoda, IKT usluga i IKT procesa.

(81)

Kako bi se izbjeglo nerazmjerno financijsko i administrativno opterećenje za ključne i važne subjekte, mjere upravljanja kibersigurnosnim rizicima trebale bi biti razmjerne rizicima kojima je izložen predmetni mrežni i informacijski sustav, uzimajući u obzir suvremenost takvih mjera i, ako je to primjenjivo, relevantne europske i međunarodne norme, kao i trošak njihove provedbe.

(82)

Mjere upravljanja kibersigurnosnim rizicima trebale bi biti razmjerne stupnju izloženosti ključnog ili važnog subjekta rizicima te društvenom i gospodarskom učinku koji bi incident imao. Pri utvrđivanju mjera upravljanja kibersigurnosnim rizicima prilagođenih ključnim i važnim subjektima trebalo bi uzeti u obzir različite izloženosti ključnih i važnih subjekata riziku, kao što su kritičnost subjekta, rizici, uključujući društvene rizike, kojima je subjekt izložen, veličina subjekta te vjerojatnost nastanka incidenata i njihova ozbiljnost, uključujući njihov društveni i gospodarski učinak.

(83)

Ključni i važni subjekti trebali bi jamčiti sigurnost mrežnih i informacijskih sustava koje upotrebljavaju u svojim djelatnostima. Ti sustavi ponajprije su privatni mrežni i informacijski sustavi kojima upravlja interno osoblje u IT-u ključnih i važnih subjekata ili vanjsko osoblje koji se brinu o sigurnosti. Mjere upravljanja kibersigurnosnim rizicima i obveze izvješćivanja utvrđeni u ovoj Direktivi trebali bi se primjenjivati na relevantne ključne i važne subjekte bez obzira na to održavaju li ti subjekti sami svoje mrežne i informacijske sustave ili eksternaliziraju njihovo održavanje.

(84)

Uzimajući u obzir njihovu prekograničnu prirodu, pružatelji usluga DNS-a, registri naziva vršnih domena, pružatelji usluga računalstva u oblaku, pružatelji usluga podatkovnog centra, pružatelji mreža za isporuku sadržaja, pružatelji upravljanih usluga, pružatelji upravljanih sigurnosnih usluga, pružatelji internetskih tržišta, pružatelji internetskih tražilica, pružatelji platformi za usluge društvenih mreža i pružatelji usluga povjerenja trebali bi podlijegati visokom stupnju usklađenosti na razini Unije. Stoga bi provedbu mjera upravljanja kibersigurnosnim rizicima u odnosu na te subjekte trebalo olakšati putem provedbenog akta.

(85)

Suzbijanje rizika koji proizlaze iz lanca opskrbe subjekta i njegova odnosa s dobavljačima, kao što su pružatelji usluga pohrane i obrade podataka ili pružatelji upravljanih sigurnosnih usluga i proizvođači softvera, posebno je važno s obzirom na učestalost incidenata u kojima su subjekti postali žrtve kibernapada i u kojima su zlonamjerni počinitelji mogli ugroziti sigurnost mrežnih i informacijskih sustava subjekta iskorištavanjem ranjivosti koje utječu na proizvode i usluge trećih strana. Ključni i važni subjekti bi stoga trebali procijeniti i uzeti u obzir ukupnu kvalitetu i otpornost proizvoda i usluga, mjera upravljanja kibersigurnosnim rizicima koje su ugrađene u njih, i kibersigurnosnih praksi svojih dobavljača i pružatelja usluga, uključujući njihove sigurne razvojne postupke. Ključne i važne subjekte bi trebalo posebno poticati da uključe mjere upravljanja kibersigurnosnim rizicima u ugovorne aranžmane sa svojim izravnim dobavljačima i pružateljima usluga. Ti subjekti bi mogli razmotriti rizike koji proizlaze iz drugih razina dobavljača i pružatelja usluga.

(86)

U područjima kao što su odgovor na incidente, penetracijska testiranja, revizije sigurnosti i savjetovanje, pružatelji upravljane sigurnosne usluge imaju posebno važnu ulogu među pružateljima usluga u pomaganju subjektima u njihovim nastojanjima da spriječe i otkriju incidente te odgovore na njih ili se oporave od njih. Pružatelji upravljane sigurnosne usluge i sami su, međutim, bili meta kibernapada te zbog svoje bliske integracije u rad operatora predstavljaju poseban kibersigurnosni rizik. Ključni i važni subjekti bi stoga trebali postupati s većom pažnjom pri odabiru pružatelja upravljane sigurnosne usluge.

(87)

U kontekstu svojih nadzornih zadaća i nadležna tijela mogu imati koristi od kibersigurnosnih usluga kao što su revizije sigurnosti, penetracijska testiranja ili odgovori na incidente.

(88)

Ključni i važni subjekti bi trebali odgovoriti na rizike koji proizlaze iz njihove interakcije i odnosa s drugim dionicima unutar šireg ekosustava, među ostalim u pogledu borbe protiv industrijske špijunaže i štićenja poslovne tajne. Konkretno, ti subjekti bi trebali poduzeti odgovarajuće mjere kako bi osigurali da se njihova suradnja s akademskim i istraživačkim institucijama odvija u skladu s njihovim kibersigurnosnim politikama i da slijedi dobre prakse u pogledu sigurnog pristupa informacijama i širenja informacija općenito, a posebno u pogledu zaštite intelektualnog vlasništva. Isto tako, s obzirom na važnost i vrijednost podataka za aktivnosti ključnih i važnih subjekata, pri oslanjanju na usluge transformacije i analize podataka koje pružaju treće strane ti subjekti bi trebali poduzeti sve odgovarajuće mjere upravljanja kibersigurnosnim rizicima.

(89)

Ključni i važni subjekti bi trebali usvojiti niz osnovnih praksi računalne kiberhigijene, kao što su načela nultog povjerenja, ažuriranja softvera, konfiguracija uređaja, segmentacija mreže, upravljanje identitetima i pristupom ili informiranje korisnika, organizirati osposobljavanje svojeg osoblja i podizati razinu osviještenosti u području kiberprijetnji, phishinga ili tehnika društvenog inženjeringa. Nadalje, ti subjekti bi trebali procijeniti vlastite kibersigurnosne sposobnosti i, ako je prikladno, integrirati tehnologije kojima se jača kibersigurnost, kao što su umjetna inteligencija ili sustavi strojnog učenja u cilju jačanja svojih sposobnosti i zaštite mrežnih i informacijskih sustava.

(90)

Kako bi se dodatno suzbili ključni rizici u lancu opskrbe i pomoglo ključnim i važnim subjektima koji djeluju u sektorima obuhvaćenima ovom Direktivom da na odgovarajući način upravljaju rizicima u lancu opskrbe i rizicima povezanima s dobavljačima, skupina za suradnju, u suradnji s Komisijom i ENISA-om te, prema potrebi, nakon savjetovanja s relevantnim dionicima, među ostalim iz industrije, trebala bi provoditi koordinirane procjene sigurnosnih rizika kritičnih lanaca opskrbe, kao što je učinjeno za 5G mreže u skladu s Preporukom Komisije (EU) 2019/534 (¹⁹), u cilju utvrđivanja ključnih IKT usluga, IKT sustava ili IKT proizvoda, relevantnih prijetnji i ranjivosti za pojedini sektor. Takvim koordiniranim procjenama sigurnosnog rizika trebale bi se utvrditi mjere, planovi ublažavanja i najbolje prakse za borbu protiv ključnih ovisnosti, potencijalnih pojedinačnih točaka prekida, prijetnji, ranjivosti i drugih rizika povezanih s lancem opskrbe te bi se u okviru njih trebali istražiti načini za daljnje poticanje njihovog šireg usvajanja od strane kritičnih i važnih subjekata. Potencijalni netehnički čimbenici rizika, kao što je neprimjeren utjecaj treće zemlje na dobavljače i pružatelje usluga, posebno u slučaju alternativnih modela upravljanja, uključuju prikrivene slabosti ili pristup stražnjeg ulaza i moguće sistemske poremećaje u opskrbi, posebno u slučaju ovisnosti o određenoj tehnologiji ili ovisnosti pružatelja.

(91)

U koordiniranim procjenama sigurnosnog rizika u kritičnom lancu opskrbe, s obzirom na značajke predmetnog sektora, trebalo bi uzeti u obzir i tehničke i, ako je to relevantno, netehničke čimbenike, uključujući one definirane u Preporuci (EU) 2019/534, u usklađenoj procjeni rizika kibersigurnosti 5G mreža EU-a i u paketu instrumenata EU-a za kibersigurnost 5G tehnologije oko kojih se suglasila skupina za suradnju. Pri utvrđivanju lanaca opskrbe koji bi trebali biti podložni koordiniranoj procjeni sigurnosnog rizika, u obzir bi trebalo uzeti sljedeće kriterije: i. mjera u kojoj se ključni i važni subjekti koriste određenim ključnim IKT uslugama, IKT sustavima ili IKT proizvodima i oslanjaju na njih; ii. važnost specifičnih ključnih IKT usluga, IKT sustava ili IKT proizvoda u obavljanju ključnih ili osjetljivih funkcija, uključujući obradu osobnih podataka; iii. dostupnost alternativnih IKT usluga, IKT sustava ili IKT proizvoda; iv. otpornost cjelokupnog lanca opskrbe IKT uslugama, IKT sustavima ili IKT proizvodima tijekom njihovog životnog ciklusa na ometajuće događaje i v. potencijalna buduća važnost novih IKT usluga, IKT sustava ili IKT proizvoda za aktivnosti subjekata. Nadalje, poseban bi naglasak trebalo staviti na IKT usluge, IKT sustave ili IKT proizvode koji podliježu posebnim zahtjevima koji proizlaze iz trećih zemalja.

(92)

Kako bi se pojednostavnile obveze određene pružateljima javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga i pružateljima usluga povjerenja povezane sa sigurnošću njihovih mrežnih i informacijskih sustava te kako bi se tim subjektima i nadležnim tijelima na temelju Direktive (EU) 2018/1972 Europskog parlamenta i Vijeća (²⁰) odnosno Uredbe (EU) br. 910/2014 omogućilo ostvarivanje koristi od pravnog okvira uspostavljenog ovom Direktivom, uključujući imenovanje CSIRT-a odgovornog za postupanje s incidentima, sudjelovanje predmetnih nadležnih tijela u aktivnostima skupine za suradnju i mreže CSIRT-ova, ta bi tijela trebalo obuhvatiti područjem primjene ove Direktive. Stoga bi trebalo izbrisati odgovarajuće odredbe utvrđene Uredbom (EU) br. 910/2014 i Direktivom (EU) 2018/1972 koje se odnose na uvođenje zahtjeva u pogledu sigurnosti i obavješćivanja za te vrste subjekata. Pravilima o obvezama izvješćivanja utvrđenima u ovoj Direktivi ne bi se trebala dovoditi u pitanje Uredba (EU) 2016/679 i Direktiva 2002/58/EZ.

(93)

Kibersigurnosne obveze utvrđene u ovoj Direktivi trebale bi se smatrati dopunom zahtjeva uvedenih za pružatelje usluga povjerenja na temelju Uredbe (EU) br. 910/2014. Od pružatelja usluga povjerenja trebalo bi se zahtijevati da poduzmu sve odgovarajuće i razmjerne mjere za upravljanje rizicima kojima su izložene njihove usluge, među ostalim u odnosu na korisnike i ovisne treće strane, te da prijavljuju incidente na temelju ove Direktive. Takve kibersigurnosne obveze i obveze izvješćivanja trebale bi se odnositi i na fizičku zaštitu pruženih usluga. I dalje se primjenjuju zahtjevi za kvalificirane pružatelje usluga povjerenja utvrđeni u članku 24. Uredbe (EU) br. 910/2014.

(94)

Države članice mogu dodijeliti ulogu nadležnih tijela za usluge povjerenja nadzornim tijelima u skladu s Uredbom (EU) br. 910/2014 kako bi se osigurao nastavak postojećih praksi i nadogradilo znanje i iskustvo stečeni u primjeni te uredbe. U takvom slučaju, nadležna tijela na temelju ove Direktive trebala bi blisko i pravodobno surađivati s tim nadzornim tijelima razmjenjujući relevantne informacije kako bi se osigurao djelotvoran nadzor i usklađenost pružatelja usluga povjerenja sa zahtjevima utvrđenima u ovoj Direktivi i Uredbi (EU) br. 910/2014. Ako je to primjenjivo, CSIRT ili nadležno tijelo iz ove Direktive trebali bi odmah obavijestiti nadzorno tijelo iz Uredbe (EU) br. 910/2014 o svim ozbiljnim kiberprijetnjama ili značajnim incidentima o kojima su obaviješteni, a koji utječu na usluge povjerenja te o svim povredama ove Direktive od strane pružatelja usluga povjerenja. Za potrebe izvješćivanja, države članice mogu se, ako je to primjenjivo, koristiti jedinstvenom kontaktnom točkom uspostavljenom kako bi se postiglo zajedničko i automatsko izvješćivanje i nadzornog tijela iz Uredbe (EU) br. 910/2014 i CSIRT-a ili nadležnog tijela iz ove Direktive o incidentima.

(95)

Prema potrebi i kako bi se izbjegli nepotrebni poremećaji, pri prenošenju ove Direktive trebalo bi uzeti u obzir postojeće nacionalne smjernice donesene za prenošenje pravila povezanih sa sigurnosnim mjerama utvrđenima u člancima 40. i 41. Direktive (EU) 2018/1972, čime bi se nadogradilo znanje i vještine stečene na temelju Direktive (EU) 2018/1972 u pogledu sigurnosnih mjera i obavijesti o incidentima. ENISA ujedno može izraditi smjernice o sigurnosnim zahtjevima i obvezama izvješćivanja za pružatelje javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga kako bi se olakšalo usklađivanje i prijelaz, a poremećaji sveli na najmanju moguću mjeru. Države članice nacionalnim regulatornim tijelima na temelju Direktive (EU) 2018/1972 mogu dodijeliti ulogu nadležnih tijela za elektroničke komunikacije kako bi se osigurao nastavak postojećih praksi i nadogradilo znanje i iskustvo stečeni kao rezultat primjene te direktive.

(96)

S obzirom na sve veću važnost brojevno neovisnih interpersonalnih komunikacijskih usluga kako su definirane u Direktivi (EU) 2018/1972, potrebno je osigurati da se i na takve usluge primjenjuju odgovarajući sigurnosni zahtjevi u skladu s njihovim posebnostima i gospodarskom važnošću. Budući da se prostor za napad nastavlja širiti, brojevno neovisne interpersonalne komunikacijske usluge, kao što su usluge razmjene poruka, postaju rašireni vektori napada. Zlonamjerni počinitelji služe se platformama za komuniciranje sa žrtvama i poticanje žrtava na otvaranje nesigurnih internetskih stranica, čime se povećava vjerojatnost incidenata koji uključuju iskorištavanje osobnih podataka, a time i sigurnosti mrežnih i informacijskih sustava. Stoga bi pružatelji brojevno neovisnih interpersonalnih komunikacijskih usluga trebali osigurati odgovarajuću razinu sigurnosti mrežnih i informacijskih sustava s obzirom na rizike kojima su izloženi. S obzirom na to da pružatelji brojevno neovisnih interpersonalnih komunikacijskih usluga obično nemaju stvarnu kontrolu nad prijenosom signala mrežama, stupanj rizika za takve usluge može se u nekim aspektima smatrati nižim od rizika za tradicionalne elektroničke komunikacijske usluge. Isto bi trebalo primijeniti na interpersonalne komunikacijske usluge kako su definirane u Direktivi (EU) 2018/1972 koje se koriste brojevima, a koje nemaju stvarnu kontrolu nad prijenosom signala mrežama.

(97)

Unutarnje tržište ovisi o funkcioniranju interneta više nego ikad. Usluge gotovo svih ključnih i važnih subjekata ovise o uslugama koje se pružaju putem interneta. Kako bi se osiguralo neometano pružanje usluga koje pružaju ključni i važni subjekti, važno je da svi pružatelji javnih elektroničkih komunikacijskih mreža imaju uspostavljene odgovarajuće mjere upravljanja kibersigurnosnim rizicima i da prijave značajne incidente povezane s njima. Države članice trebale bi osigurati održavanje sigurnosti javnih elektroničkih komunikacijskih mreža i zaštitu svojih ključnih sigurnosnih interesa od sabotaže i špijunaže. Budući da međunarodna povezivost poboljšava i ubrzava konkurentnu digitalizaciju Unije i njezina gospodarstva, incidente koji utječu na podmorske komunikacijske kabele trebalo bi prijaviti CSIRT-u ili, ako je to primjenjivo, nadležnom tijelu. U nacionalnoj strategiji za kibersigurnost trebalo bi, prema potrebi, uzeti u obzir kibersigurnost podmorskih komunikacijskih kabela i uključiti mapiranje potencijalnih kibersigurnosnih rizika i mjera ublažavanja kako bi se osigurala najviša razina njihove zaštite.

(98)

Kako bi se zaštitila sigurnost javnih elektroničkih komunikacijskih mreža i javno dostupnih elektroničkih komunikacijskih usluga, trebalo bi promicati upotrebu tehnologija šifriranja, posebno prolaznog kriptiranja, kao i sigurnosnih koncepata usmjerenih na podatke, kao što su kartografija, segmentacija, označivanje, politika pristupa i upravljanje pristupom te odluke o automatiziranom pristupu. Prema potrebi, uporaba kriptiranja, posebno prolaznog kriptiranja, trebala bi biti obvezna za pružatelje javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga u skladu s načelima zadane i integrirane sigurnosti i privatnosti za potrebe ove Direktive. Upotrebu prolaznog kriptiranja trebalo bi uskladiti s ovlastima država članica da osiguraju zaštitu svojih ključnih sigurnosnih interesa i javne sigurnosti te da dopuste sprečavanje, istragu, otkrivanje i progon kaznenih djela u skladu s pravom Unije. Međutim, to ne bi trebalo oslabiti prolazno kriptiranje, koje je kritična tehnologija za učinkovitu zaštitu podataka i privatnosti i sigurnost komunikacija.

(99)

Kako bi se zaštitila sigurnost i spriječile zlouporaba javnih elektroničkih komunikacijskih mreža i javno dostupnih elektroničkih komunikacijskih usluga te manipulacija njima, trebalo bi promicati primjenu standarda sigurnog usmjeravanja kako bi se osigurale cjelovitost i pouzdanost funkcija usmjeravanja u cijelom ekosustavu pružatelja usluga pristupa internetu.

(100)

Kako bi se zaštitila funkcionalnost i cjelovitost interneta te promicala sigurnost i otpornost DNS-a, relevantne dionike, uključujući subjekte iz privatnog sektora Unije, pružatelje javno dostupnih elektroničkih komunikacijskih usluga, posebno pružatelje usluga pristupa internetu, i pružatelje internetskih tražilica trebalo bi poticati na donošenje strategije diversifikacije prevođenja DNS-a. Nadalje, države članice trebale bi poticati razvoj i upotrebu javne i sigurne usluge europskih prevoditelja DNS-a.

(101)

Ovom se Direktivom utvrđuje pristup izvješćivanju o značajnim incidentima u više faza kako bi se uspostavila prava ravnoteža između, s jedne strane, brzog izvješćivanja koje doprinosi ublažavanju potencijalnog širenja značajnih incidenata i omogućuje ključnim i važnim subjektima da traže podršku te, s druge strane, detaljnog izvješćivanja kojim se iz pojedinačnih incidenata izvlače vrijedne pouke i s vremenom poboljšava otpornost na kiberprijetnje pojedinačnih subjekata i cijelih sektora. U tom pogledu ova bi Direktiva trebala uključivati i izvješćivanje o incidentima koji bi, na temelju početne procjene koju dotični subjekt provodi, mogli uzrokovati ozbiljne poremećaje u funkcioniranju usluga ili financijske gubitke za taj subjekt ili utjecati na druge fizičke ili pravne osobe uzrokovanjem znatne materijalne ili nematerijalne štete. Takvom početnom procjenom trebalo bi uzeti u obzir, između ostalog, pogođene mrežne i informacijske sustave, a posebno njihovu važnost u pružanju usluga predmetnog subjekta, ozbiljnost i tehničke značajke kiberprijetnje te sve temeljne ranjivosti koje se iskorištavaju kao i iskustvo subjekta sa sličnim incidentima. Pokazatelji kao što su mjera u kojoj je ugroženo funkcioniranje usluge, trajanje incidenta ili broj primatelja usluga na koje je incident utjecao mogli bi imati važnu ulogu u utvrđivanju toga je li poremećaj u funkcioniranju usluge ozbiljan.

(102)

Kada ključni ili važni subjekti saznaju za značajan incident, trebali bi biti obvezni bez nepotrebne odgode, a u svakom slučaju u roku od 24 sata, podnijeti rano upozorenje. Nakon tog ranog upozorenja trebala bi uslijediti obavijest o incidentu. Dotični subjekti bi trebali podnijeti obavijest o incidentu bez nepotrebne odgode, a u svakom slučaju u roku od 72 sata otkad saznaju za značajan incident, u prvom redu kako bi ažurirali informacije podnesene u ranom upozorenju i naveli početnu procjenu značajnog incidenta, uključujući njegovu ozbiljnosti i učinak te, ako su dostupni, pokazatelje ugroženosti. Završno izvješće trebalo bi podnijeti najkasnije jedan mjesec nakon obavijesti o incidentu. Rano upozorenje trebalo bi sadržavati samo informacije koje su nužne kako bi CSIRT-ovi ili, ako je to primjenjivo, nadležno tijelo bili upoznati s značajnim incidentom i kako bi se dotičnom subjektu, prema potrebi, omogućilo traženje pomoći. U takvom ranom upozoravanju, ako je to primjenjivo, trebalo bi navesti postoji li sumnja da je značajan incident uzrokovan nezakonitim ili zlonamjernim djelovanjem te postoji li vjerojatnost da će imati prekograničan učinak. Države članice trebale bi osigurati da se zbog obveze podnošenja tog ranog upozorenja ili naknadne obavijesti o incidentu resursi subjekta koji obavješćuje ne preusmjeruju s aktivnosti povezanih s postupanjem sa značajnim incidentima koje bi trebale biti prioritetne kako bi se spriječilo da se zbog obveza izvješćivanja o incidentima resursi za postupanje sa značajnim incidentima preusmjere ili na drugi način ugroze aktivnosti subjekta u tom pogledu. U slučaju incidenta koji je u tijeku u trenutku podnošenja završnog izvješća države članice trebale bi osigurati da dotični subjekti dostave izvješće o napretku u tom trenutku te završno izvješće u roku od jednog mjeseca od postupanja sa značajnim incidentom.

(103)

Ako je to primjenjivo, ključni i važni subjekti bi trebali bez nepotrebnog odgađanja obavijestiti svoje primatelje usluga o svim mjerama ili pravnim sredstvima koje mogu poduzeti kako bi ublažili rizike koji proizlaze iz ozbiljne kiberprijetnje. Ti subjekti bi trebali, prema potrebi, a posebno ako je vjerojatno da će se ozbiljna kiberprijetnja ostvariti, svoje primatelje usluga obavijestiti i o samoj prijetnji. Zahtjev za izvješćivanje tih primatelja usluga o ozbiljnim kiberprijetnjama trebao bi se ispuniti u najvećoj mogućoj mjeri, ali ne bi smio podrazumijevati oslobađanje tih subjekata od obveze da o vlastitom trošku poduzme odgovarajuće i hitne mjere kako bi se spriječile ili uklonile sve takve prijetnje i ponovno uspostavila normalna sigurnosna razina usluge. Pružanje takvih informacija o ozbiljnim kiberprijetnjama trebalo bi biti besplatno za primatelje usluga i sastavljeno na lako razumljivom jeziku.

(104)

Pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga trebali bi provoditi tehničku i integriranu sigurnost i obavijestiti primatelje svojih usluga o ozbiljnim kiberprijetnjama te o mjerama koje mogu poduzeti kako bi očuvali sigurnost svojih uređaja i komunikacija, na primjer upotrebom posebnih vrsta softvera ili tehnologija kriptiranja.

(105)

Proaktivan pristup kiberprijetnjama ključna je sastavnica upravljanja kibersigurnosnim rizikom te bi nadležnim tijelima trebao omogućiti da učinkovito spriječe da se kiberprijetnje pretvore u incidente koji mogu uzrokovati znatnu materijalnu ili nematerijalnu štetu. Zato je obavješćivanje o kiberprijetnjama od presudne važnosti i subjekte se u tu svrhu potiče da dobrovoljno izvješćuju o kiberprijetnjama.

(106)

Kako bi se pojednostavnilo izvješćivanje o informacijama koje se zahtijevaju na temelju ove Direktive te usto smanjilo administrativno opterećenje za subjekte, države članice trebale bi osigurati tehnička sredstva za podnošenje relevantnih informacija o kojima se treba izvješćivati, kao što su jedinstvena ulazna točka, automatizirani sustavi, internetski obrasci, sučelja prilagođena korisnicima, predlošci, namjenske platforme koje upotrebljavaju subjekti, neovisno o tome jesu li obuhvaćeni područjem primjene ove Direktive ili su iz njega isključeni. Financiranje Unije kojim se podupire provedba ove Direktive, osobito u okviru programa Digitalna Europa, uspostavljenog Uredbom (EU) 2021/694 Europskog parlamenta i Vijeća (²¹), moglo bi uključivati potporu za jedinstvene ulazne točke. Nadalje, subjekti često određeni incident, zbog njegovih značajki, moraju prijaviti različitim tijelima u skladu s obvezama obavješćivanja uključenima u razne pravne instrumente. Takvi slučajevi stvaraju dodatno administrativno opterećenje te bi također mogli dovesti do nesigurnosti u pogledu oblika obavijesti i postupanja s njima. Ako je uspostavljena jedinstvena ulazna točka, države članice potiču se i na to da upotrebljavaju tu jedinstvenu ulaznu točku za obavješćivanje o sigurnosnim incidentima koje se zahtijeva u skladu s drugim pravom Unije, kao što su Uredba (EU) 2016/679 i Direktiva 2002/58/EZ. Upotreba takve jedinstvene ulazne točke za izvješćivanja o sigurnosnim incidentima u skladu s Uredbom (EU) 2016/679 i Direktivom 2002/58/EZ ne bi trebala utjecati na primjenu odredaba Uredbe (EU) 2016/679 i Direktive 2002/58/EZ, posebno onih koje se odnose na neovisnost tijela navedenih u njima. U suradnji sa skupinom za suradnju ENISA bi trebala izraditi zajedničke predloške za obavješćivanje s pomoću smjernica za pojednostavljivanje i usklađivanje informacija o kojima se treba izvješćivati koje se zahtijevaju u skladu s pravom Unije, čime bi se smanjilo administrativno opterećenje za subjekte koji obavješćuju.

(107)

Ako se sumnja da je incident povezan s aktivnostima koje se prema pravu Unije ili nacionalnom pravu smatraju ozbiljnim kriminalnim aktivnostima, države članice trebale bi ključne i važne subjekte poticati da, na temelju primjenjivih pravila kaznenog postupka u skladu s pravom Unije, relevantnim tijelima za izvršavanje zakonodavstva prijave incidente za koje se sumnja da su ozbiljne kriminalne naravi. Prema potrebi i ne dovodeći u pitanje pravila o zaštiti osobnih podataka koja se primjenjuju na Europol, poželjno je da Europski centar za kiberkriminalitet (EC3) i ENISA olakšavaju koordinaciju između nadležnih tijela i tijela za izvršavanje zakonodavstva različitih država članica.

(108)

U mnogim slučajevima osobni podaci ugroženi su zbog incidenata. U tom kontekstu nadležna tijela trebala bi surađivati i razmjenjivati informacije o svim relevantnim pitanjima s tijelima iz Uredbe (EU) 2016/679 i Direktive 2002/58/EZ.

(109)

Vođenje točnih i potpunih baza podataka s podacima o registraciji naziva domena (tzv. podaci WHOIS) te omogućivanje zakonitog pristupa takvim podacima ključni su za osiguravanje sigurnosti, stabilnosti i otpornosti DNS-a, što doprinosi visokoj zajedničkoj razini kibersigurnosti širom Unije. U tu specifičnu svrhu od registara naziva vršnih domena i subjekata koji pružaju usluge registracije naziva domena trebalo bi zahtijevati da obrađuju određene podatke potrebne za postizanje te svrhe. Obrada koja uključuje osobne podatke trebala bi predstavljati pravnu obvezu u smislu članka 6. stavka 1. točke (c) Uredbe (EU) 2016/679. Tom se obvezom ne dovodi u pitanje mogućnost prikupljanja podataka o registraciji naziva domena u druge svrhe, na primjer na temelju ugovornih aranžmana ili pravnih zahtjeva utvrđenih u drugom pravu Unije ili nacionalnom pravu. Tom se obvezom nastoji ostvariti potpun i točan skup registracijskih podataka te ona ne bi trebala dovesti do višestrukog prikupljanja istih podataka. Registri naziva vršnih domena i subjekti koji pružaju usluge registracije naziva domena trebali bi međusobno surađivati kako bi se izbjeglo udvostručavanje navedene zadaće.

(110)

Dostupnost i pravodobna pristupačnost podacima o registraciji naziva domena zakonitim tražiteljima pristupa ključna je za potrebe sprečavanja i borbe protiv zloupotrebe DNS-a te za sprečavanje i otkrivanje incidenta te odgovaranje na njih. Zakonitim tražiteljima pristupa smatra se svaka fizička ili pravna osoba koja podnosi zahtjev na temelju prava Unije ili nacionalnog prava. Oni mogu uključivati tijela nadležna na temelju ove Direktive i ona koja su u skladu s pravom Unije ili nacionalnim pravom nadležna za sprečavanje, istragu, otkrivanje ili progon kaznenih djela te CERT-ove ili CSIRT-ove. Od registra naziva vršnih domena i subjekata koji pružaju usluge registracije naziva domena trebalo bi zahtijevati da zakonitim tražiteljima pristupa omoguće legalan pristup podacima o registraciji određenih naziva domena, koji su nužni za potrebe zahtjeva za pristup, u skladu s pravom Unije i nacionalnim pravom. Zahtjev zakonitih tražitelja pristupa trebao bi biti popraćen obrazloženjem kojim se omogućuje procjena nužnosti pristupa podacima.

(111)

Kako bi se osigurala dostupnost točnih i potpunih podataka o registraciji naziva domena, registri naziva vršnih domena i subjekti koji pružaju usluge registracije naziva domena trebali bi prikupljati i jamčiti cjelovitost i dostupnost podataka o registraciji naziva domena. Posebno, registri naziva vršnih domena i subjekti koji pružaju usluge registracije naziva domena trebali bi uspostaviti politike i postupke za prikupljanje i održavanje točnih i potpunih podataka o registraciji naziva domena te za sprečavanje i ispravljanje netočnih registracijskih podataka u skladu s pravom Unije o zaštiti podataka. Tim politikama i postupcima trebalo bi uzeti u obzir, u mjeri u kojoj je to moguće, norme koje su razvile strukture upravljanja s više dionika na međunarodnoj razini. Registri naziva vršnih domena i subjekti koji pružaju usluge registracije naziva domena trebali bi usvojiti i provoditi proporcionalne postupke za provjeru podataka o registraciji naziva domena. Ti bi postupci trebali odražavati najbolje prakse korištene u sektoru i, u mjeri u kojoj je to moguće, napredak postignut u području elektroničke identifikacije. Primjeri postupaka provjere mogu uključivati ex ante kontrole provedene u trenutku registracije i ex post kontrole provedene nakon registracije. Registri naziva vršnih domena i subjekti koji pružaju usluge registracije naziva domena trebali bi u prvom redu provjeriti barem jedan on načina za kontaktiranje korisnika domene.

(112)

Od registra vršnih domena i subjekata koji pružaju usluge registracije naziva domena trebalo bi zahtijevati da javno objave podatke o registraciji naziva domena koji su izvan područja primjene pravila Unije o zaštiti podataka, kao što su podaci o pravnim osobama, u skladu s preambulom Uredbe (EU) 2016/679. Za pravne osobe registri naziva vršnih domena i subjekti koji pružaju usluge registracije naziva domena trebali bi javno objaviti barem ime korisnika domene i broj telefona za kontakt. Trebalo bi objaviti i adresu e-pošte za kontakt pod uvjetom da ne sadržava osobne podatke, kao što je to slučaj sa pseudonimima za e-poštu ili funkcionalnim profilima. Registri naziva vršnih domena i subjekti koji pružaju usluge registracije trebali bi usto zakonitim tražiteljima pristupa omogućiti legalan pristup podacima o registraciji određenih naziva domena koji se odnose na fizičke osobe, u skladu s pravom Unije o zaštiti podataka. Države članice trebale bi zahtijevati da registri naziva vršnih domena i subjekti koji pružaju usluge registracije naziva domena bez nepotrebne odgode odgovaraju na zahtjeve za otkrivanje podataka o registraciji naziva domena koje upute zakoniti tražitelji pristupa. Registri vršnih domena i subjekti koji pružaju usluge registracije naziva domena trebali bi uspostaviti politike i postupke za objavljivanje i otkrivanje registracijskih podataka, uključujući sporazume o razini usluga za rješavanje zahtjeva za pristup zakonitih tražitelja pristupa. Tim politikama i postupcima trebalo bi uzeti u obzir, u mjeri u kojoj je to moguće, sve smjernice i standarde koje su razvile upravljačke strukture s više dionika na međunarodnoj razini. Postupak pristupa mogao bi uključivati i upotrebu sučelja, portala ili drugog tehničkog alata kako bi se osigurao učinkovit sustav za podnošenje zahtjeva i pristupanje registracijskim podacima. S ciljem promicanja usklađenih praksi na unutarnjem tržištu, Komisija može, ne dovodeći u pitanje nadležnosti Europskog odbora za zaštitu podataka, pružiti smjernice u vezi s takvim postupcima, kojima se u mogućoj mjeri uzimaju u obzir standardi koje su razvile strukture upravljanja s više dionika na međunarodnoj razini. Države članice trebale bi osigurati da sve vrste pristupa osobnim i neosobnim registracijskim podacima domena budu besplatne.

(113)

Za subjekte obuhvaćene područjem primjene ove Direktive trebalo bi se smatrati da su u nadležnosti države članice u kojoj imaju poslovni nastan. Ipak, trebalo bi smatrati da su pružatelji javnih elektroničkih komunikacijskih mreža ili pružatelji javno dostupnih elektroničkih komunikacijskih usluga u nadležnosti države članice u kojoj pružaju usluge. Trebalo bi smatrati da su pružatelji usluga DNS-a, registri naziva vršnih domena, subjekti koji pružaju usluge registracije naziva domena, pružatelji usluga računalstva u oblaku, pružatelji usluga podatkovnog centra, pružatelji mreža za isporuku sadržaja, pružatelji upravljanih usluga, pružatelji upravljanih sigurnosnih usluga, pružatelji internetskih tržišta, pružatelji internetskih tražilica i pružatelji platformi za usluge društvenih mreža u nadležnosti države članice u kojoj imaju glavni poslovni nastan u Uniji. Subjekti javne uprave trebali bi biti u nadležnosti države članice koja ih je osnovala. Ako subjekt pruža usluge ili ima poslovni nastan u više država članica, trebao bi biti u zasebnoj i istodobnoj nadležnosti svake od tih država članica. Nadležna tijela tih država članica trebala bi surađivati, uzajamno si pomagati i, prema potrebi, provoditi zajedničke nadzorne aktivnosti. Ako države članice imaju nadležnost, u skladu s načelom ne bis in idem ne bi trebale izricati mjere izvršavanja ili kazne više od jedanput za isto ponašanje.

(114)

Kako bi se u obzir uzela prekogranična priroda usluga i djelatnosti pružatelja usluga DNS-a, registara naziva vršnih domena, subjekata koji pružaju usluge registracije naziva domena, pružatelja usluga računalstva u oblaku, pružatelja upravljanih usluga, pružatelja upravljanih sigurnosnih usluga, pružatelja internetskih tržišta, pružatelja internetske tražilice i pružatelja platformi za usluge društvenih mreža, samo bi jedna država članica trebala imati nadležnost nad tim subjektima. Nadležnost bi se trebala dodijeliti državi članici u kojoj predmetni subjekt ima glavni poslovni nastan u Uniji. Kriterij poslovnog nastana za potrebe ove Direktive podrazumijeva učinkovito obavljanje djelatnosti u okviru stabilnih aranžmana. Pravni oblik takvih aranžmana, bilo da je riječ o podružnici ili društvu kćeri s pravnom osobnošću, nije odlučujući čimbenik u tom pogledu. Ispunjenje tog kriterija ne bi trebalo ovisiti o tome jesu li mrežni i informacijski sustavi fizički smješteni na određenom mjestu; postojanje i upotreba takvih sustava sami po sebi ne čine takav glavni poslovni nastan i stoga nisu odlučujući kriteriji za određivanje glavnog poslovnog nastana. Trebalo bi smatrati da se glavni poslovni nastan nalazi u državi članici u kojoj se, gledano na razini Unije, pretežno donose odluke povezane s mjerama upravljanja kibersigurnosnim rizicima. To obično odgovara mjestu u Uniji na kojem se nalazi središnja uprava subjekata. Ako se takva država članica ne može utvrditi ili ako se takve odluke ne donose u Uniji, trebalo bi smatrati da se glavni poslovni nastan nalazi u državi članici u kojoj se provode kibersigurnosne operacije. Ako se takva država članica ne može utvrditi, trebalo bi smatrati da se glavni poslovni nastan nalazi u državi članici u kojoj subjekti imaju poslovnu jedinicu s najvećim brojem zaposlenika u Uniji. Ako usluge pruža grupa poduzetnika, glavni poslovni nastan vladajućeg poduzetnika trebao bi se smatrati glavnim nastanom grupe poduzetnika.

(115)

Ako javno dostupnu rekurzivnu uslugu DNS-a pruža pružatelj javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga samo kao dio usluge pristupa internetu, trebalo bi smatrati da je subjekt u nadležnosti svih država članica u kojima se pružaju njegove usluge.

(116)

Ako pružatelj usluga DNS-a, registar naziva vršnih domena, subjekt koji pruža usluge registracije naziva domena, pružatelj usluga računalstva u oblaku, pružatelj usluga podatkovnog centra, pružatelj mreža za isporuku sadržaja, pružatelj upravljanih usluga, pružatelj upravljanih sigurnosnih usluga ili pružatelj internetskih tržišta, internetskih tražilica ili platformi za usluge društvenih mreža koji nema poslovni nastan u Uniji, a nudi usluge unutar Unije, trebao bi imenovati predstavnika u Uniji. Kako bi se utvrdilo nudi li takav subjekt usluge u Uniji, trebalo bi provjeriti planira li subjekt nuditi usluge osobama u jednoj državi članici ili više njih. Sama dostupnost u Uniji internetskih stranica subjekta ili posrednog davatelja takvih usluga ili adrese e-pošte ili drugih podataka za kontakt ili korištenje jezikom koji je uobičajeno u upotrebi u trećoj zemlji u kojoj subjekt ima poslovni nastan, ne bi se trebala smatrati dovoljnom za utvrđivanje takve namjere. Međutim, čimbenici kao što su korištenje jezikom ili valutom koji su uobičajeno u uporabi u jednoj državi članica ili više njih, s mogućnošću naručivanja usluga na tom jeziku ili spominjanje kupaca ili korisnika koji se nalaze u Uniji, mogli bi ukazati na to da je očito da subjekt planira nuditi usluge u Uniji. Predstavnik bi trebao djelovati u ime subjekta te bi nadležna tijela ili CSIRT-ovi trebali moći obratiti se predstavniku. Subjekt bi trebao pisanim ovlaštenjem izričito imenovati predstavnika da djeluje u njegovo ime s obzirom na obveze tog subjekta utvrđenih u ovoj Direktivi, što uključuje izvješćivanja o incidentima.

(117)

Kako bi se osigurao jasan pregled pružatelja usluga DNS-a, registara naziva vršnih domena, subjekata koji pružaju usluge registracije naziva domena, pružatelja usluga računalstva u oblaku, pružatelja usluga podatkovnog centra, pružatelja mreža za isporuku sadržaja, pružatelja upravljanih usluga, pružatelja upravljanih sigurnosnih usluga, pružatelja internetskih tržišta, pružatelja internetskih tražilica i pružatelja platformi za usluge društvenih mreža, koji pružaju usluge obuhvaćene područjem primjene ove Direktive širom Unije, ENISA bi trebala uspostaviti i voditi registar takvih subjekata na temelju informacija koje prime države članice, ako je to primjenjivo u okviru nacionalnih mehanizama uspostavljenih kako bi se subjekti sami registrirali. Jedinstvene kontaktne točke trebale bi ENISA-i prosljeđivati informacije i sve njihove izmjene. Kako bi se osigurala točnost i potpunost informacija koje bi trebale biti uključene u taj registar, države članice mogu ENISA-i dostavljati informacije o tim subjektima koje su dostupne u bilo kojem od nacionalnih registara. ENISA i države članice trebale bi poduzeti mjere za olakšavanje interoperabilnosti takvih registara te pritom osigurati zaštitu povjerljivih ili klasificiranih podataka. ENISA bi trebala uspostaviti odgovarajuće protokole za klasifikaciju informacija i upravljanje njima kako bi se osigurala sigurnost i povjerljivost otkrivenih informacija i ograničili pristup tim informacijama predviđenim korisnicima te njihovo skladištenje i prijenos.

(118)

Ako se informacije koje su klasificirane u skladu s pravom Unije ili nacionalnim pravom razmjenjuju, dostavljaju ili na drugi način dijele u skladu s ovom Direktivom, trebalo bi primjenjivati odgovarajuća posebna pravila o postupanju s klasificiranim podacima. Usto, ENISA bi trebala uspostaviti infrastrukturu, postupke i pravila za postupanje s osjetljivim i klasificiranim podacima u skladu s primjenjivim sigurnosnim pravilima za zaštitu klasificiranih podataka EU-a.

(119)

S obzirom na to da kiberprijetnje postaju sve složenije i sofisticiranije, dobre mjere njihova otkrivanja i sprečavanja uvelike ovise o redovitoj razmjeni informacija o prijetnjama i ranjivostima među subjektima. Razmjena informacija doprinosi boljoj informiranosti o kiberprijetnjama, što pak povećava kapacitet subjekata da spriječe da se prijetnje pretvore u incidente te omogućuje subjektima da bolje ograniče učinke incidenata i učinkovitije se oporave od njih. U nedostatku smjernica na razini Unije čini se da su razni čimbenici spriječili takvu razmjenu informacija, a osobito nesigurnost u pogledu usklađenosti s pravilima o tržišnom natjecanju i odgovornosti.

(120)

Stoga bi države članice trebale poticati subjekte te bi im pomagati da zajednički iskorištavaju svoja znanja i praktična iskustva na strateškoj, taktičkoj i operativnoj razini kako bi povećali svoje sposobnosti za odgovarajuće sprečavanje, otkrivanje, pružanje odgovora i oporavak kada je riječ o incidentima ili ublažavanju njihova učinka. Stoga je potrebno omogućiti razvijanje mehanizama dobrovoljne razmjene informacija na razini Unije. U tu bi svrhu države članice trebale aktivno pomagati subjektima, kao što su subjekti koji pružaju usluge i istraživanja u području kibersigurnosti, kao i subjektima koji nisu obuhvaćeni područjem primjene ove Direktive, i poticati ih na sudjelovanje u takvim mehanizmima razmjene informacija. Ti bi se mehanizmi trebali provoditi u skladu s pravilima Unije o tržišnom natjecanju te pravom Unije o zaštiti podataka.

(121)

Obrada osobnih podataka u mjeri u kojoj je to potrebno i razmjerno za potrebe osiguravanja sigurnosti mrežnih i informacijskih sustava koju provode ključni i važni subjekti mogla bi se smatrati zakonitom na temelju toga što je takva obrada usklađena s pravnom obvezom kojoj podliježe voditelj obrade, a u skladu sa zahtjevima iz članka 6. stavka 1. točke (c) i članka 6. stavka 3. Uredbe (EU) 2016/679. Obrada osobnih podataka mogla bi biti potrebna i zbog legitimnih interesa ključnih i važnih subjekata kao i pružatelja sigurnosnih tehnologija i usluga koji djeluju u ime tih subjekata, u skladu s člankom 6. stavkom 1. točkom (f) Uredbe (EU) 2016/679, među ostalim ako je takva obrada nužna za potrebe mehanizama razmjene informacija o kibersigurnosti ili dobrovoljno obavješćivanje o relevantnim informacijama u skladu s ovom Direktivom. Mjere za sprečavanje, otkrivanje, identifikaciju, suzbijanje, analizu i odgovor na incidente, mjere za informiranje o određenim kiberprijetnjama, razmjenu informacija u kontekstu uklanjanja i koordiniranog otkrivanja ranjivosti kao i dobrovoljnu razmjenu informacija o tim incidentima, kiberprijetnjama i ranjivostima, pokazatelji ugroženosti, taktike, tehnike i postupci, kibersigurnosna upozorenja i konfiguracijski alati mogli bi zahtijevati obradu određenih kategorija osobnih podataka, kao što su IP adrese, jedinstveni lokatori resursa (URL-ovi), nazivi domena, adrese e-pošte te vremenski žigovi ako se njima otkrivaju osobni podaci. Obrada osobnih podataka koju provode nadležna tijela, jedinstvene kontaktne točke i CSIRT-ovi mogla bi predstavljati pravnu obvezu ili se smatrati nužnom za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade podataka u skladu s člankom 6. stavkom 1. točkom (c) ili (e) te člankom 6. stavkom 3. Uredbe (EU) 2016/679 ili za ostvarivanje legitimnog interesa ključnih i važnih subjekata, kako je navedeno u članku 6. stavku 1. točki (f) te uredbe. Nadalje, nacionalnim pravom mogla bi se utvrditi pravila kojima se nadležnim tijelima, jedinstvenim kontaktnim točkama i CSIRT-ovima, u mjeri u kojoj je to potrebno i razmjerno u svrhu jamčenja sigurnosti mrežnih i informacijskih sustava ključnih i važnih subjekata, omogućuje obrada posebnih kategorija osobnih podataka u skladu s člankom 9. Uredbe (EU) 2016/679, u prvom redu na temelju predviđanja odgovarajućih i posebnih mjera za zaštitu temeljnih prava i interesa fizičkih osoba, uključujući tehnička ograničenja ponovne uporabe takvih podataka i primjenu najsuvremenijih mjera sigurnosti i zaštite privatnosti, kao što su pseudonimizacija ili kriptiranje u slučaju da anonimizacija može znatno utjecati na svrhu koja se želi postići.

(122)

Kako bi se ojačale nadzorne ovlasti i mjere koje pomažu u osiguravanju učinkovite usklađenosti, ovom bi se Direktivom trebao predvidjeti popis minimalnih nadzornih mjera i sredstava uz pomoć kojih nadležna tijela mogu nadzirati ključne i važne subjekte. Usto, Direktivom bi se trebalo utvrditi razlikovanje sustava nadzora između ključnih i važnih subjekata kako bi se osigurala pravedna ravnoteža obveza tih subjekata i nadležnih tijela. Stoga bi se na ključne subjekte trebao primjenjivati sveobuhvatni ex ante i ex post nadzorni sustav, dok bi se na važne subjekte trebao primjenjivati blagi sustav samo ex post nadzora. Od važnih subjekata ne bi trebalo zahtijevati da sustavno dokumentiraju usklađenost sa mjerama upravljanja kibersigurnosnim rizicima, dok bi nadležna tijela trebala primjenjivati reaktivni ex post pristup nadzoru te stoga ne bi trebala imati opću obvezu nadzora nad tim subjektima. Ex post nadzor nad važnim subjektima može se pokrenuti na temelju dokaza, naznaka ili informacija o kojima su nadležna tijela obaviještena i za koje ta tijela smatraju da upućuju na moguće povrede ove Direktive. Na primjer, takvi dokazi, naznake ili informacije mogli bi biti oni koje nadležnim tijelima dostavljaju druga tijela, subjekti, građani, mediji ili drugi izvori, javno dostupne informacije ili bi mogli proizlaziti iz drugih aktivnosti koje provode nadležna tijela pri obavljanju svojih zadaća.

(123)

Pri obavljanju nadzornih zadaća nadležna tijela ne bi trebala nepotrebno ometati poslovne aktivnosti predmetnog subjekta. Ako nadležna tijela obavljaju svoje nadzorne zadaće u vezi s ključnim subjektima, uključujući provedbu inspekcija na lokaciji i neizravnog nadzora, istragu povreda ove Direktive i provođenje revizija sigurnosti i analiza sigurnosti, ona bi na najmanju moguću mjeru trebala svesti učinak na poslovne aktivnosti predmetnog subjekta.

(124)

Pri provedbi ex ante nadzora nadležna tijela trebala bi moći na razmjeran način odlučiti o određivanju prioriteta u pogledu primjene nadzornih mjera i sredstava koji su im na raspolaganju. To podrazumijeva da nadležna tijela mogu odlučiti o takvom određivanju prioriteta na temelju nadzornih metodologija koje bi trebale slijediti pristup utemeljen na procjeni rizika. Konkretnije, te metodologije mogle bi uključivati kriterije ili referentna mjerila za razvrstavanje ključnih subjekata u kategorije rizika i odgovarajućih nadzornih mjera i preporučenih sredstava po kategoriji rizika, kao što su upotreba, učestalost ili vrste inspekcija na lokaciji ili ciljanih revizija sigurnosti ili analiza sigurnosti, vrsta informacija koje treba zahtijevati i razina detalja tih informacija. Takve nadzorne metodologije mogle bi biti popraćene i programima rada te bi ih se moglo redovito ocjenjivati i preispitivati, među ostalim u pogledu aspekata kao što su dodjela resursa i potrebe u vezi s resursima. U odnosu na subjekte javne uprave nadzorne ovlasti trebalo bi izvršavati u skladu s nacionalnim zakonodavnim i institucionalnim okvirima.

(125)

Nadležna tijela trebala bi osigurati da njihove nadzorne zadaće u odnosu na ključne i važne subjekte obavljaju osposobljeni stručnjaci, koji bi trebali posjedovati vještine potrebne za obavljanje tih zadaća, osobito u smislu provedbe inspekcija na lokaciji i neizravnog nadzora, uključujući utvrđivanje nedostataka u bazama podataka, hardveru, vatrozidovima, kriptiranju i mrežama. Ti bi se nadzori trebali provoditi na objektivan način.

(126)

U propisno obrazloženim slučajevima ako je nadležno tijelo upoznato s ozbiljnom kiberprijetnjom ili neposrednim rizikom, ono bi trebalo biti u stanju donijeti hitne odluke o izvršavanju radi sprečavanja incidenta ili odgovaranja na njega.

(127)

Kako bi izvršavanje bilo učinkovito, potrebno je utvrditi popis minimalnih ovlasti izvršavanja koje se mogu primijeniti za kršenje mjera upravljanja kibersigurnosnim rizicima i obveza izvješćivanja predviđenih ovom Direktivom, čime bi se uspostavio jasan i usklađen okvir za takvo izvršavanje širom Unije. Posebna bi se pozornost trebala posvetiti prirodi, ozbiljnosti i trajanju povrede ove Direktive, uzrokovanoj materijalnoj ili nematerijalnoj šteti, bez obzira na to je li povreda bila namjerna ili nehotična, mjerama poduzetima radi sprečavanja ili ublažavanja materijalne ili nematerijalne štete, stupnju odgovornosti ili svim relevantnim prethodnim povredama, stupnju suradnje s nadležnim tijelom kao i bilo kojem drugom otegotnom ili olakotnom čimbeniku. Mjere izvršavanja, uključujući upravne novčane kazne, trebale bi biti proporcionalne, a njihovo izricanje podlijegati odgovarajućim postupovnim zaštitnim mjerama u skladu s općim načelima prava Unije i Poveljom Europske unije o temeljnim pravima („Povelja”), uključujući pravo na djelotvoran pravni lijek i pošteno suđenje, pretpostavku nedužnosti i prava na obranu.

(128)

Ovom se Direktivom od država članica ne zahtijeva da predvide kaznenu ili građansku odgovornost u pogledu fizičkih osoba odgovornih za osiguravanje usklađenosti subjekta s ovom Direktivom u vezi sa štetom koju su treće strane pretrpjele zbog kršenja ove Direktive.

(129)

Kako bi se osiguralo učinkovito izvršavanje obveza utvrđenih u ovoj Direktivi, svako bi nadležno tijelo trebalo imati ovlast izricati ili zahtijevati izricanje upravnih novčanih kazni.

(130)

Kada se upravna novčana kazne izriče ključnom ili važnom subjektu koji je poduzetnik, poduzetnik bi se u te svrhe trebao smatrati poduzetnikom u skladu s člancima 101. i 102. UFEU-a. Ako se upravna novčana kazna izriče osobi koja nije poduzetnik, pri razmatranju odgovarajućeg iznosa novčane kazne nadležno tijelo trebalo bi uzeti u obzir opću razinu dohotka u državi članici te ekonomsko stanje osobe. Države članice trebale bi utvrditi i trebaju li i do koje mjere primjenjivati upravne novčane kazne za tijela javne vlasti. Izricanje upravne novčane kazne ne utječe na primjenu ovlasti nadležnih tijela ili drugih sankcija utvrđenih u nacionalnim pravilima kojima se prenosi ova Direktiva.

(131)

Države članice trebale bi moći propisati pravila o kaznenim sankcijama za povrede nacionalnih pravila kojima se prenosi ova Direktiva. Međutim, izricanje kaznenih sankcija za povrede takvih nacionalnih pravila i povezanih upravnih sankcija ne bi smjelo dovesti do kršenja načela ne bis in idem, kako ga tumači Sud Europske unije.

(132)

Ako ovom Direktivom nisu usklađene upravne sankcije ili ako je to potrebno u drugim slučajevima, na primjer u slučaju ozbiljne povrede ove Direktive, države članice trebale bi uvesti sustav kojim se predviđaju učinkovite, proporcionalne i odvraćajuće sankcije. Prirodu tih sankcija, i to jesu li kaznenog ili upravnog karaktera, trebalo bi odrediti u nacionalnom pravu.

(133)

Kako bi se dodatno ojačali djelotvornost i odvraćajući učinak mjera izvršavanja koje se primjenjuju na povrede ove Direktive, nadležna tijela trebala bi biti ovlaštena privremeno suspendirati ili zahtijevati privremenu suspenziju certifikata ili ovlaštenja za dio relevantnih usluga ili sve relevantne usluge koje ključni subjekt pruža ili djelatnosti koje obavlja i zahtijevati izricanje privremene zabrane obavljanja upravljačkih dužnosti svakoj fizičkoj osobi koja upravljačke dužnosti obavlja na razini glavnog izvršnog direktora ili pravnog zastupnika. S obzirom na njihovu ozbiljnost i učinak na aktivnosti subjekata te naposljetku na njihove korisnike, takve bi privremene suspenzije ili zabrane trebalo primjenjivati samo razmjerno ozbiljnosti povrede i uzimajući u obzir posebne okolnosti svakog slučaja, uključujući namjernu ili nehotičnu prirodu povrede kao i mjere poduzete radi sprečavanja ili ublažavanja materijalne ili nematerijalne štete. Takve bi se privremene suspenzije ili zabrane trebale primjenjivati samo kao ultima ratio, odnosno tek nakon što se iscrpe druge odgovarajuće mjere izvršavanja utvrđene ovom Direktivom i samo dok subjekti na koje se primjenjuju ne poduzmu potrebne mjere za otklanjanje nedostataka ili dok ne ispune zahtjeve nadležnog tijela na koje se odnose takve privremene suspenzije ili zabrane. Izricanje takvih privremenih suspenzija ili zabrana treba podlijegati odgovarajućim postupovnim zaštitnim mjerama u skladu s općim načelima prava Unije i Poveljom, uključujući pravo na djelotvoran pravni lijek i pošteno suđenje, pretpostavku nedužnosti i prava na obranu.

(134)

Kako bi se osiguralo da subjekti ispunjavaju svoje obveze utvrđene u ovoj Direktivi, države članice trebale bi surađivati i međusobno si pomagati u pogledu nadzornih mjera i mjera izvršavanja, posebno ako subjekt pruža usluge u više od jedne države članice ili ako se njegovi mrežni i informacijski sustavi nalaze u državi članici koja nije ona u kojoj pruža usluge. Pri pružanju pomoći nadležno tijelo primatelj zahtjeva trebalo bi poduzeti nadzorne mjere ili mjere izvršavanja u skladu s nacionalnim pravom. Kako bi se osiguralo neometano funkcioniranje uzajamne pomoći na temelju ove Direktive, nadležna tijela trebala bi se koristiti skupinom za suradnju kao forumom za raspravljanje o različitim slučajevima i konkretnim zahtjevima za pomoć.

(135)

Kako bi se osigurali učinkovit nadzor i izvršavanje, posebno u situacijama s prekograničnom dimenzijom, država članica koja primi zahtjev za uzajamnu pomoć trebala bi, u okvirima tog zahtjeva, poduzeti odgovarajuće nadzorne mjere i mjere izvršavanja u odnosu na subjekt koji je predmet tog zahtjeva i koji pruža usluge ili koji ima mrežni i informacijski sustav na državnom području te države članice.

(136)

Ovom bi se Direktivom trebala utvrditi pravila suradnje između nadležnih tijela i nadzornih tijela na temelju Uredbe (EU) 2016/679 radi postupanja u slučaju povreda ove Direktive povezanih s osobnim podacima.

(137)

Cilj ove Direktive trebao bi biti osiguravanje visoke razine odgovornosti za mjere upravljanja kibersigurnosnim rizicima i obveze izvješćivanja na razini ključnih i važnih subjekata. Stoga bi upravljačka tijela ključnih i važnih subjekata trebala odobravati mjere upravljanja kibersigurnosnim rizicima i nadzirati njihovu provedbu.

(138)

Kako bi se osigurala visoka zajednička razina kibersigurnosti širom Unije na temelju ove Direktive, Komisiji bi trebalo delegirati ovlast za donošenje akata u skladu s člankom 290. UFEU-a u vezi s dopunom ove Direktive određivanjem od kojih se kategorija ključnih i važnih subjekata treba zahtijevati korištenje određenim certificiranim IKT proizvodima, IKT uslugama i IKT procesima ili pribavljanje certifikata na temelju jednog od europskih programa kibersigurnosne certifikacije. Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući ona na razini stručnjaka, te da se ta savjetovanja provedu u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. (²²). Osobito, s ciljem osiguravanja ravnopravnog sudjelovanja u pripremi delegiranih akata, Europski parlament i Vijeće primaju sve dokumente istodobno kada i stručnjaci iz država članica te njihovi stručnjaci sustavno imaju pristup sastancima stručnih skupina Komisije koji se odnose na pripremu delegiranih akata.

(139)

Radi osiguranja jedinstvenih uvjeta za provedbu ove Direktive, Komisiji bi trebalo dodijeliti provedbene ovlasti za utvrđivanje postupovnih aranžmana potrebnih za funkcioniranje skupine za suradnju te tehničkih, metodoloških i sektorskih zahtjeva u pogledu mjera upravljanja kibersigurnosnim rizicima i za dodatno utvrđivanje vrste informacija, oblika i postupka obavješćivanja o incidentima, kiberprijetnjama i izbjegnutim incidentima te dodatno utvrđivanje komunikacije o ozbiljnim kiberprijetnjama kao i o slučajevima u kojima se incident treba smatrati značajnim. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (²³).

(140)

Komisija bi periodično trebala preispitivati ovu Direktivu, nakon savjetovanja s dionicima, naročito u cilju utvrđivanja je li potrebno predlagati amandmane u svjetlu promjene društvenih, političkih, tehnoloških i tržišnih uvjeta. U tim preispitivanjima Komisija bi trebala ocijeniti relevantnost veličine dotičnih subjekata, te sektora, podsektora i vrste subjekata iz prilogâ ovoj Direktivi za funkcioniranje gospodarstva i društva u pogledu kibersigurnosti. Komisija bi, između ostalog, trebala ocijeniti može li se pružatelje obuhvaćene područjem primjene ove Direktive koji su određeni kao vrlo velike internetske platforme u smislu članka 33. Uredbe (EU) 2022/2065 Europskog parlamenta i Vijeća (²⁴) utvrditi kao ključna tijela na temelju ove Direktive.

(141)

Ova Direktiva stvara nove zadaće za ENISA-u, čime se jača njezina uloga, a mogla bi također dovesti do toga da se od ENISA-e zahtijeva izvršavanje njezinih postojećih zadaća u skladu s Uredbom (EU) 2019/881 na višoj razini nego prije. Kako bi se osiguralo da ENISA raspolaže potrebnim financijskim i ljudskim resursima za obavljanje postojećih i novih zadaća kao i za ispunjavanje svih viših razina provedbe koje proizlaze iz njezine snažnije uloge, treba povećati njezin proračun. Osim toga, kako bi se osiguralo učinkovito korištenje resursima, ENISA-i treba dati veću fleksibilnost u načinu na koji ona može interno dodjeljivati resurse kako bi učinkovito izvršavala svoje zadaće i ispunila očekivanja.

(142)

S obzirom na to da cilj ove Direktive, to jest postizanje visoke zajedničke razine kibersigurnosti širom Unije, ne mogu dostatno ostvariti države članice, nego se zbog učinka djelovanja on na bolji način može ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji. U skladu s načelom proporcionalnosti utvrđenim u tom članku, ova Direktiva ne prelazi ono što je potrebno za ostvarivanje tog cilja.

(143)

Ovom Direktivom poštuju se temeljna prava i načela priznata Poveljom, posebno pravo na poštovanje privatnog života i komuniciranja, zaštita osobnih podataka, sloboda poduzetništva, pravo na vlasništvo, pravo na djelotvoran pravni lijek i na pošteno suđenje, pretpostavka nedužnosti i prava na obranu. Pravo na djelotvoran pravni lijek obuhvaća i primatelje usluga koje pružaju ključni i važni subjekti. Ova Direktiva trebala bi se provoditi u skladu s tim pravima i načelima.

(144)

Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 42. stavkom 1. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća (²⁵) te je on dao mišljenje 11. ožujka 2021. (²⁶),

(a)

obveze kojima se zahtjeva da države članice donesu nacionalne strategije za kibersigurnost i imenuju ili uspostave nadležna tijela, tijela za upravljanje kiberkrizama, jedinstvene kontaktne točke za kibersigurnost (jedinstvene kontaktne točke) i timove za odgovor na računalne sigurnosne incidente (CSIRT-ovi);

(b)

mjere upravljanja kibersigurnosnim rizicima i obveze izvješćivanja za subjekte koji pripadaju vrstama navedenim u Prilogu I. i u Prilogu II kao i za subjekte utvrđene kao kritični subjekti na temelju Direktive (EU) 2022/2557;

(c)

pravila i obveze u pogledu razmjene informacija o kibersigurnosti;

(d)

obveze nadzora i izvršavanja za države članice.

(a)

ako usluge pružaju:

(b)

ako je subjekt u nekoj državi članici jedini pružatelj usluge koja je ključna za održavanje ključnih društvenih ili gospodarskih djelatnosti;

(c)

ako bi poremećaj u funkcioniranju usluge koju pruža subjekt mogao imati znatan učinak na javnu sigurnost, javnu zaštitu ili javno zdravlje;

(d)

ako bi poremećaj u funkcioniranju usluge koju pruža subjekt mogao uzrokovati znatne sistemske rizike, posebno u sektorima u kojima bi takav poremećaj mogao imati prekogranični učinak;

(e)

ako je subjekt ključan zbog svoje posebne važnosti na nacionalnoj ili regionalnoj razini za određeni sektor ili vrstu usluge ili za druge međuovisne sektore u državi članici;

(f)

ako se radi o subjektu javne uprave:

(a)

subjekte javne uprave na lokalnoj razini;

(b)

obrazovne ustanove, posebno ako provode ključne istraživačke aktivnosti.

(a)

subjekti koji pripadaju vrstama iz Priloga I. koji premašuju gornje granice za srednja poduzeća iz članka 2. stavka 1. Priloga Preporuci 2003/361/EZ;

(b)

kvalificirani pružatelji usluga povjerenja i registri naziva vršnih domena te pružatelji usluga DNS-a, neovisno o njihovoj veličini;

(c)

pružatelji javnih elektroničkih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga koji se smatraju srednjim poduzećima na temelju članka 2. Priloga Preporuci 2003/361/EZ;

(d)

subjekti javne uprave iz članka 2. stavka 2. točke (f) podtočke (i);

(e)

svi drugi subjekti koji pripadaju vrstama iz priloga I. ili II. koje je država članica utvrdila kao ključne subjekte na temelju članka 2. stavka 2. točaka od (b) do (e);

(f)

subjekti koji su utvrđeni kao kritični subjekti na temelju Direktive (EU) 2022/2557, iz članka 2. stavka 3. ove Direktive;

(g)

ako država članica tako odredi, subjekti koje je ta država članica utvrdila prije 16. siječnja 2023. kao operatore ključnih usluga u skladu s Direktivom (EU) 2016/1148 ili nacionalnim pravom.

(a)

naziv subjekta;

(b)

adresu i ažurirane podatke za kontakt, uključujući adrese e-pošte, IP raspone i telefonske brojeve;

(c)

ako je to primjenjivo, relevantni sektor i podsektor iz priloga I. ili II.; i

(d)

ako je to primjenjivo, popis država članica u kojima pružaju usluge obuhvaćene područjem primjene ove Direktive.

(a)

Komisiju i skupinu za suradnju o broju svih ključnih i važnih subjekata navedenih u skladu sa stavkom 3. za svaki sektor i podsektor iz priloga I. ili II.; i

(b)

Komisiju o relevantnim informacijama o broju ključnih i važnih subjekata utvrđenih na temelju članka 2. stavka 2. točaka od (b) do (e), sektoru i podsektoru iz priloga I. ili II. kojima pripadaju, vrsti usluge koju pružaju i odredbama iz članka 2. stavka 2. točaka od (b) do (e), na temelju kojih su utvrđeni.

(a)

mjere upravljanja kibersigurnosnim rizicima po učinku su barem jednakovrijedne mjerama utvrđenima u članku 21. stavcima 1. i 2.; ili

(b)

sektorskim pravnim aktom Unije predviđa se neposredan, prema potrebi automatski i izravan, pristup obavijestima o incidentima od strane CSIRT-ova, nadležnih tijela ili jedinstvenih kontaktnih točaka na temelju ove Direktive te kada su zahtjevi za obavješćivanje o značajnim incidentima po učinku barem jednakovrijedni onima utvrđenima u članku 23. stavcima od 1. do 6. ove Direktive.

1.

„mrežni i informacijski sustav” znači:

2.

„sigurnost mrežnih i informacijskih sustava” znači sposobnost mrežnih i informacijskih sustava da na određenoj razini pouzdanosti odolijevaju svim događajima koji mogu ugroziti dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga koje ti mrežni i informacijski sustavi nude ili kojima omogućuju pristup;

3.

„kibersigurnost” znači kibersigurnost kako je definirana u članku 2. točki 1. Uredbe (EU) 2019/881;

4.

„nacionalna strategija za kibersigurnost” znači koherentan okvir države članice kojim se predviđaju strateški ciljevi i prioriteti u području kibersigurnosti i upravljanje za njihovo postizanje u toj državi članici;

5.

„izbjegnuti incident” znači svaki događaj koji je mogao ugroziti dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga koje mrežni i informacijski sustavi nude ili kojima omogućuju pristup, ali je uspješno spriječen ili se nije ostvario;

6.

„incident” znači događaj koji ugrožava dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga koje mrežni i informacijski sustavi nude ili kojima omogućuju pristup;

7.

„kibersigurnosni incident velikih razmjera” znači incident koji uzrokuje razinu poremećaja koja premašuje sposobnost države članice da na njega odgovori ili koji ima znatan učinak na najmanje dvije države članice;

8.

„postupanje s incidentom” znači sve radnje i postupci čiji je cilj sprečavanje, otkrivanje, analiza, zaustavljanje incidenta ili odgovor na njega te oporavak od incidenta;

9.

„rizik” znači mogućnost gubitka ili poremećaja uzrokovana incidentom i treba ga izražavati kao kombinaciju opsega takvog gubitka ili poremećaja i vjerojatnosti pojave tog incidenta;

10.

„kiberprijetnja” znači kiberprijetnja kako je definirana u članku 2. točki 8. Uredbe (EU) 2019/881;

11.

„ozbiljna kiberprijetnja” znači kiberprijetnja za koju se na temelju njezinih tehničkih obilježja može pretpostaviti da može imati ozbiljan učinak na mrežne i informacijske sustave nekog subjekta ili korisnike usluga subjekta uzrokovanjem znatne materijalne ili nematerijalne štete;

12.

„IKT proizvod” znači IKT proizvod kako je definiran u članku 2. točki 12. Uredbe (EU) 2019/881;

13.

„IKT usluga” znači IKT usluga kako je definirana u članku 2. točki 13. Uredbe (EU) 2019/881;

14.

„IKT proces” znači IKT proces kako je definiran u članku 2. točki 14. Uredbe (EU) 2019/881;

15.

„ranjivost” znači slabost, osjetljivost ili nedostatak IKT proizvoda ili IKT usluga koje kiberprijetnja može iskoristiti;

16.

„norma” znači norma kako je definirana u članku 2. točki 1. Uredbe (EU) br. 1025/2012 Europskog parlamenta i Vijeća (²⁹);

17.

„tehnička specifikacija” znači tehnička specifikacija kako je definirana u članku 2. točki 4. Uredbe (EU) br. 1025/2012;

18.

„središte za razmjenu internetskog prometa” znači mrežni instrument koji omogućuje međupovezivanje više od dviju neovisnih mreža (autonomnih sustava), prvenstveno u svrhu olakšavanja razmjene internetskog prometa, koji omogućuje međupovezivanje samo za autonomne sustave i za koji nije potrebno da internetski promet između bilo kojih dvaju autonomnih sustava sudionika prođe kroz bilo koji treći autonomni sustav te koji takav promet ne mijenja i ne utječe na njega ni na koji drugi način;

19.

„sustav naziva domena” ili „(DNS)” znači hijerarhijsko raspoređeni sustav imenovanja koji omogućuje utvrđivanje internetskih usluga i resursa, čime se krajnjim korisnicima uređaja omogućuje da korištenje internetskim uslugama usmjeravanja i povezivosti za pristupanje tim uslugama i resursima;

20.

„pružatelj usluga DNS-a” znači subjekt koji pruža:

21.

„registar naziva vršnih domena” znači subjekt kojem je delegirana određena vršna domena i koji je odgovoran za upravljanje njome, uključujući registraciju naziva domena u okviru vršne domene i tehničko upravljanje vršnom domenom, uključujući upravljanje njezinim poslužiteljima naziva, održavanje njezinih baza podataka i distribuciju datoteka iz zone vršne domene u poslužitelje naziva, neovisno o tome obavlja li sam subjekt bilo koju od tih operacija ili njihovo obavljanje eksternalizira, ali su isključene situacije u kojima registar koristi nazive vršnih domena samo za vlastitu upotrebu;

22.

„subjekt koji pruža usluge registracije naziva domena” znači registrar ili zastupnik koji djeluje u ime registrara, kao što je pružatelj ili preprodavatelj usluga zaštite privatnosti i proxy registracije;

23.

„digitalna usluga” znači usluga kako je definirana u članku 1. stavku 1. točki (b) Direktive (EU) 2015/1535 Europskog parlamenta i Vijeća (³⁰);

24.

„usluga povjerenja” znači usluga povjerenja kako je definirana u članku 3. točki 16. Uredbe (EU) br. 910/2014;

25.

„pružatelj usluga povjerenja” znači pružatelj usluga povjerenja kako je definiran u članku 3. točki 19. Uredbe (EU) br. 910/2014;

26.

„kvalificirana usluga povjerenja” znači kvalificirana usluga povjerenja kako je definirana u članku 3. točki 17. Uredbe (EU) br. 910/2014;

27.

„kvalificirani pružatelj usluga povjerenja” znači kvalificirani pružatelj usluga povjerenja kako je definiran u članku 3. točki 20. Uredbe (EU) br. 910/2014;

28.

„internetsko tržište” znači internetsko tržište kako je definirano u članku 2. točki (n) Direktive 2005/29/EZ Europskog parlamenta i Vijeća (³¹);

29.

„internetska tražilica” znači internetska tražilica kako je definirana u članku 2. točki 5. Uredbe (EU) 2019/1150 Europskog parlamenta i Vijeća (³²);

30.

„usluga računalstva u oblaku” znači digitalna usluga koja omogućuje administraciju na zahtjev i široki daljinski pristup nadogradivom i elastičnom skupu djeljivih računalnih resursa, među ostalim kad su takvi resursi raspoređeni na nekoliko lokacija;

31.

„usluga podatkovnog centra” znači usluga koja uključuje strukture ili skupine struktura namijenjenih centraliziranom smještaju, međupovezivanju i radu opreme informacijske tehnologije i mreža za usluge pohrane, obrade i prijenosa podataka, uključujući sve objekte i infrastrukturu za distribuciju električne energije i kontrolu okoliša;

32.

„mreža za isporuku sadržaja” znači mreža zemljopisno raspoređenih poslužitelja u svrhu osiguravanja visoke dostupnosti, pristupačnosti ili brze isporuke digitalnog sadržaja i usluga korisnicima interneta u ime pružateljâ sadržaja i usluga;

33.

„platforma za usluge društvenih mreža” znači platforma koja krajnjim korisnicima omogućuje da se međusobno povežu, dijele i otkrivaju sadržaj te da komuniciraju na više uređaja, posebno preko razgovora, objava, videozapisa i preporuka;

34.

„predstavnik” znači fizička ili pravna osoba koja ima poslovni nastan u Uniji koju su pružatelj usluga DNS-a, registar naziva vršnih domena, subjekt koji pruža usluge registracije naziva domena, pružatelj usluga računalstva u oblaku, pružatelj usluga podatkovnog centra, pružatelj mreža za isporuku sadržaja, pružatelj upravljanih usluga, pružatelj upravljanih sigurnosnih usluga, ili pružatelj internetskog tržišta, pružatelj internetske tražilice ili pružatelj platforme za usluge društvenih mreža koji nema poslovni nastan u Uniji izričito imenovali da djeluje u njihovo ime i kojoj se nadležno tijelo ili CSIRT mogu obratiti umjesto samom subjektu u pogledu obveza tog subjekta na temelju ove Direktive;

35.

„subjekt javne uprave” znači subjekt koji je kao takav priznat u državi članici u skladu s nacionalnim pravom, ne uključujući sudstvo, parlamente ili središnje banke i koji ispunjava sljedeće kriterije:

36.

„javna elektronička komunikacijska mreža” znači javna elektronička komunikacijska mreža kako je definirana u članku 2. točki (8) Direktive (EU) 2018/1972;

37.

„elektronička komunikacijska usluga” znači elektronička komunikacijska usluga kako je definirana u članku 2. točki (4) Direktive (EU) 2018/1972;

38.

„subjekt” znači fizička ili pravna osoba osnovana i priznata kao takva na temelju nacionalnog prava mjesta svojeg poslovnog nastana, koja može, djelujući u vlastito ime, ostvarivati prava i preuzimati obveze;

39.

„pružatelj upravljanih usluga” znači subjekt koji pruža usluge povezane s instalacijom, upravljanjem, radom ili održavanjem IKT proizvoda, mreža, infrastrukture, aplikacija ili bilo kojih drugih mrežnih i informacijskih sustava, u obliku pomoći ili aktivnog upravljanja koje se provodi u prostorima klijenata ili na daljinu;

40.

„pružatelj upravljanih sigurnosnih usluga” znači pružatelj upravljanih usluga koji provodi ili pruža pomoć za aktivnosti povezane s upravljanjem kibersigurnosnim rizicima;

41.

„istraživačka organizacija” znači subjekt čiji je primarni cilj provođenje primijenjenog istraživanja ili eksperimentalnog razvoja radi iskorištavanja rezultata tog istraživanja u komercijalne svrhe, ali koji ne uključuje obrazovne ustanove.

(a)

ciljeve i prioritete strategije za kibersigurnost države članice koji posebno obuhvaćaju sektore i podsektore iz priloga I. i II.;

(b)

upravljački okvir za postizanje ciljeva i prioriteta iz točke (a) ovog stavka, uključujući politike iz stavka 2. ;

(c)

upravljački okvir kojim se pojašnjavaju uloge i odgovornosti relevantnih dionika na nacionalnoj razini, kojim se podupire suradnja i koordinacija na nacionalnoj razini među nadležnim tijelima, jedinstvenim kontaktnim točkama i CSIRT-ovima na temelju ove Direktive, kao i koordinacija i suradnja između tih tijela i nadležnih tijela na temelju sektorskih pravnih akata Unije;

(d)

mehanizam za utvrđivanje relevantne imovine i procjenu rizika u toj državi članici;

(e)

određivanje mjera za osiguravanje pripravnosti i sposobnosti reagiranja na incidente i oporavka od incidenata, uključujući suradnju javnog i privatnog sektora;

(f)

popis različitih tijela i dionika koji su uključeni u provedbu nacionalne strategije za kibersigurnost;

(g)

okvir politike za bolju koordinaciju između nadležnih tijela na temelju ove Direktive i nadležnih tijela na temelju Direktive (EU) 2022/2557 u svrhu razmjene informacija o rizicima, kiberprijetnjama i incidentima te o rizicima, prijetnjama i incidentima izvan kiberprostora i izvršavanja nadzornih zadaća, prema potrebi;

(h)

plan, uključujući potrebne mjere, za povećanje opće razine osviještenosti o kibersigurnosti među građanima.

(a)

za rješavanje kibersigurnosnih pitanja u lancu opskrbe za IKT proizvode i IKT usluge kojima se koriste subjekti za pružanje svojih usluga;

(b)

za uključivanje i definiranje kibersigurnosnih zahtjeva za IKT proizvode i IKT usluge u području javne nabave, uključujući u odnosu na kibersigurnosnu certifikaciju, kriptiranje i upotrebu kibersigurnosnih proizvoda otvorenog koda;

(c)

za upravljanje ranjivostima, uključujući promicanje i olakšavanje koordiniranog otkrivanja ranjivosti u skladu s člankom 12. stavkom 1.;

(d)

koje se odnose na održavanje opće dostupnosti, cjelovitosti i povjerljivosti javne jezgre otvorenog interneta, uključujući, ako je to potrebno, kibersigurnost podmorskih komunikacijskih kabela;

(e)

za promicanje razvoja i integracije relevantnih naprednih tehnologija radi provedbe najsuvremenijih mjera upravljanja kibersigurnosnim rizicima;

(f)

za promicanje i razvoj obrazovanja i osposobljavanja u području kibersigurnosti, vještina u području kibersigurnosti, informiranja te istraživačkih i razvojnih inicijativa u području kibersigurnosti, kao i smjernica o dobroj praksi i kontrolama kiberhigijene namijenjenih građanima, dionicima i subjektima;

(g)

za potporu akademskim i istraživačkim institucijama u razvoju, unapređivanju i poticanju uvođenja alata za kibersigurnost i sigurne mrežne infrastrukture;

(h)

koje uključuju relevantne postupke i odgovarajuće alate za razmjenu informacija u cilju podupiranja dobrovoljne razmjene informacija o kibersigurnosti među subjektima u skladu s pravom Unije;

(i)

za jačanje kiberotpornosti i osnovne razine kiberhigijene malih i srednjih poduzeća, osobito onih koji su izuzeti iz područja primjene ove Direktive, pružanjem lako dostupnih smjernica i pomoći za njihove specifične potrebe;

(j)

za promicanje aktivne kiberzaštite.

(a)

ciljevi mjera i aktivnosti za nacionalnu pripravnost;

(b)

zadaće i odgovornosti tijela za upravljanje kiberkrizama;

(c)

postupci upravljanja kiberkrizama, uključujući njihovu integraciju u opći nacionalni okvir za upravljanje krizama, i kanali za razmjenu informacija;

(d)

nacionalne mjere pripravnosti, uključujući vježbe i aktivnosti osposobljavanja;

(e)

relevantni javni i privatni dionici i uključena infrastruktura;

(f)

nacionalni postupci i dogovori između relevantnih nacionalnih tijela i drugih tijela kako bi se osiguralo učinkovito sudjelovanje država članica u koordiniranom upravljanju kibersigurnosnim incidentima velikih razmjera i krizama na razini Unije i njihova potpora takvom upravljanju.

(a)

CSIRT-ovi osiguravaju visoku razinu dostupnosti svojih komunikacijskih kanala izbjegavanjem jedinstvenih točki prekida te u svakom trenutku imaju na raspolaganju više sredstava za dvosmjerno kontaktiranje; oni jasno određuju komunikacijske kanale i o njima obavješćuju klijente i suradnike;

(b)

prostori CSIRT-ova i informacijski sustavi za potporu smješteni su na sigurnim lokacijama;

(c)

CSIRT-ovi su opremljeni odgovarajućim sustavom za upravljanje zahtjevima i njihovim usmjeravanjem, posebno kako bi se olakšale učinkovite i efikasne primopredaje;

(d)

CSIRT-ovi osiguravaju povjerljivost i pouzdanost svojih operacija;

(e)

CSIRT-ovi imaju dovoljno osoblja kako bi se osigurala dostupnost njihovih usluga u svako doba i osiguravaju da je njihovo osoblje osposobljeno na odgovarajući način;

(f)

CSIRT-ovi su opremljeni redundantnim sustavima i rezervnim radnim prostorom kako bi se osigurao kontinuitet njihovih usluga.

(a)

praćenje i analiziranje kiberprijetnji, ranjivosti i incidenata na nacionalnoj razini i, na zahtjev, pružanje pomoći predmetnim ključnim i važnim subjektima u vezi s praćenjem njihovih mrežnih i informacijskih sustava u stvarnom ili gotovo stvarnom vremenu;

(b)

pružanje ranih upozorenja i najava te informiranje predmetnih ključnih i važnih subjekata, kao i nadležnih tijela i drugih relevantnih dionika o kiberprijetnjama, ranjivostima i incidentima, ako je moguće u gotovo stvarnom vremenu;

(c)

odgovaranje na incidente i, ako je to primjenjivo, pružanje pomoći predmetnim ključnim i važnim subjektima;

(d)

prikupljanje i analiziranje forenzičkih podataka te osiguravanje dinamičke analize rizika i incidenata te informiranosti o stanju u pogledu kibersigurnosti;

(e)

osiguravanje, na zahtjev predmetnog ključnog ili važnog subjekta, proaktivnog skeniranja mrežnih i informacijskih sustava predmetnog subjekta radi otkrivanja ranjivosti s potencijalno znatnim učinkom;

(f)

sudjelovanje u mreži CSIRT-ova i pružanje uzajamne pomoći u skladu sa svojim kapacitetima i kompetencijama drugim članovima mreže CSIRT-ova na njihov zahtjev;

(g)

ako je to primjenjivo, djelovanje u svojstvu koordinatora za potrebe postupka koordiniranog otkrivanja ranjivosti iz članka 12. stavka 1.;

(h)

doprinošenje korištenju alata za sigurnu razmjenu informacija na temelju članka 10. stavka 3.

(a)

postupke za postupanje s incidentima;

(b)

upravljanje krizama; i

(c)

koordinirano otkrivanje ranjivosti na temelju članka 12. stavka 1.

(a)

utvrđivanje predmetnih subjekata i kontaktiranje s njima;

(b)

pomaganje fizičkim ili pravnim osobama koje prijavljuju ranjivost; i

(c)

pregovaranje o vremenskom okviru za otkrivanje i upravljanje ranjivostima koje utječu na više subjekata.

(a)

informacije koje opisuju ranjivost;

(b)

IKT proizvode ili IKT usluge na koje ona utječe i ozbiljnost ranjivosti s obzirom na okolnosti u kojima se može iskoristiti;

(c)

dostupnost odgovarajućih popravaka i ako nisu dostupni popravci, smjernice koje pružaju nadležna tijela ili CSIRT-ovi namijenjene korisnicima ranjivih IKT proizvoda i IKT usluga o načinu na koji se mogu ublažiti rizici koji proizlaze iz otkrivenih ranjivosti.

(a)

pružanje smjernica nadležnim tijelima za prenošenje i provedbu ove Direktive;

(b)

pružanje smjernica nadležnim tijelima u vezi s razvojem i provedbom politika o koordiniranom otkrivanju ranjivosti, kako je navedeno u članku 7. stavku 2. točki (c);

(c)

razmjena najbolje prakse i informacija povezanih s provedbom ove Direktive, među ostalim u pogledu kiberprijetnji, incidenata, ranjivosti, izbjegnutih incidenata, inicijativa za informiranje, osposobljavanja, vježbi i vještina, izgradnje kapaciteta, normi i tehničkih specifikacija te utvrđivanja ključnih i važnih subjekata na temelju članka 2. stavka 2. točaka od (b) do (e);

(d)

savjetovanje i suradnja s Komisijom u pogledu novih inicijativa kibersigurnosne politike i ukupne dosljednosti sektorskih kibersigurnosnih zahtjeva;

(e)

savjetovanje i suradnja s Komisijom u pogledu nacrta delegiranih ili provedbenih akata donesenih u skladu s ovom Direktivom;

(f)

razmjena najbolje prakse i informacija s relevantnim institucijama, tijelima, uredima i agencijama Unije;

(g)

razmjena mišljenja o provedbi sektorskih pravnih akata Unije koji sadržavaju odredbe o kibersigurnosti;

(h)

ako je to relevantno, rasprava o izvješćivanju o istorazinskom ocjenjivanju iz članka 19. stavka 9. te donošenje zaključaka i preporuka;

(i)

provedba koordinirane procjene sigurnosnih rizika kritičnih lanaca opskrbe u skladu s člankom 22. stavkom 1.;

(j)

rasprava o slučajevima uzajamne pomoći, uključujući iskustva i rezultate prekograničnih zajedničkih nadzornih aktivnosti iz članka 37.;

(k)

na zahtjev jedne ili više dotičnih država članica, rasprava o posebnim zahtjevima za uzajamnu pomoć iz članka 37.;

(l)

pružanje strateških smjernica mreži CSIRT-ova i mreži EU-CyCLONe o određenim novonastalim pitanjima;

(m)

razmjena mišljenja o politici daljnjih mjera nakon kibersigurnosnih incidenata velikih razmjera i kriza na temelju iskustava stečenih u okviru mreže CSIRT-ova i mreže EU-CyCLONe;

(n)

doprinos kibersigurnosnim kapacitetima širom Unije olakšavanjem razmjene nacionalnih službenika putem programa za izgradnju kapaciteta koji uključuje osoblje iz nadležnih tijela ili CSIRT-ova;

(o)

organiziranje redovitih zajedničkih sastanaka s relevantnim privatnim dionicima iz cijele Unije u svrhu rasprave o aktivnostima skupine za suradnju i prikupljanja informacija o novim izazovima u pogledu politike;

(p)

rasprava o radu obavljenom u vezi s vježbama u području kibersigurnosti, uključujući rad ENISA-e;

(q)

utvrđivanje metodologije i organizacijskih aspekata istorazinskog ocjenjivanja iz članka 19. stavka 1. te utvrđivanje metodologije samoocjene za države članice u skladu s člankom 19. stavkom 5. uz pomoć Komisije i ENISA-e te, u suradnji s Komisijom i ENISA-om, izrađivanje kodeksa ponašanja na kojima se temelje metode rada imenovanih stručnjaka za kibersigurnost u skladu s člankom 19. stavkom 6.;

(r)

priprema izvješća u svrhu preispitivanja iz članka 40. o iskustvu stečenom na strateškoj i operativnoj razini te iz istorazinskih ocjenjivanja;

(s)

rasprava i redovita provedba procjene stanja kiberprijetnji ili kiberincidenata, kao što su ucjenjivački softveri.

(a)

razmjena informacija o kapacitetima CSIRT-ova;

(b)

olakšavanje dijeljenja, prijenosa i razmjene tehnologije i relevantnih mjera, politika, alata, procesa, najbolje prakse i okvira među CSIRT-ovima;

(c)

razmjena relevantnih informacija o incidentima, izbjegnutim incidentima, kiberprijetnjama, rizicima i ranjivostima;

(d)

razmjena informacija o publikacijama i preporukama u području kibersigurnosti;

(e)

osiguravanje interoperabilnosti u pogledu specifikacija i protokola za razmjenu informacija;

(f)

na zahtjev člana mreže CSIRT-ova na koju bi incident mogao utjecati, razmjena i rasprava o informacijama o tom incidentu te povezanim kiberprijetnjama, rizicima i ranjivostima;

(g)

na zahtjev člana mreže CSIRT-ova, razmatranje te, ako je moguće, i provedba koordiniranog odgovora na incident koji je utvrđen u području za koje je nadležna ta država članica;

(h)

pružanje pomoći državama članicama u rješavanju prekograničnih incidenata u skladu s ovom Direktivom;

(i)

suradnja, razmjena najbolje prakse i pružanje pomoći CSIRT-ovima koji su imenovani koordinatorima u skladu s člankom 12. stavkom 1. u pogledu upravljanja koordiniranim otkrivanjem ranjivosti koje bi mogle imati znatan učinak na subjekte u više od jedne države članice;

(j)

rasprava o daljnjim oblicima operativne suradnje te njihovo utvrđivanje, među ostalim u odnosu na:

(k)

obavješćivanje skupine za suradnju o svojim aktivnostima i daljnjim oblicima operativne suradnje razmotrenima na temelju točke (j) te prema potrebi traženje smjernica u tom pogledu;

(l)

razmatranje vježbi u području kibersigurnosti, među ostalim onih koje organizira ENISA;

(m)

na zahtjev pojedinačnog CSIRT-a, rasprava o kapacitetima i pripravnosti tog CSIRT-a;

(n)

suradnja i razmjena informacija s centrima za sigurnosne operacije (SOC-ovi) na regionalnoj razini i na razini Unije kako bi se poboljšala zajednička informiranost o stanju u pogledu na incidenata i kiberprijetnji širom Unije;

(o)

ako je to relevantno, rasprava o izvješćima o istorazinskom ocjenjivanju iz članka 19. stavka 9.;

(p)

pružanje smjernica radi olakšavanja konvergencije operativnih praksi u cilju primjene odredaba ovog članka o operativnoj suradnji.

(a)

povećanje razine pripravnosti za upravljanje kibersigurnosnim incidentima velikih razmjera i krizama;

(b)

poboljšanje zajedničke informiranosti o kibersigurnosnim incidentima velikih razmjera i krizama;

(c)

procjena posljedica i učinka relevantnih kibersigurnosnih incidenata velikih razmjera i kriza te predlaganje mogućih mjera ublažavanja;

(d)

koordinacija upravljanja kibersigurnosnim incidentima velikih razmjera i krizama te pomoć pri odlučivanju na političkoj razini u pogledu takvih incidenata i kriza;

(e)

rasprava, na zahtjev dotične države članice, o nacionalnim planovima za odgovor na kibersigurnosne incidente velikih razmjera i krize iz članka 9. stavka 4.

(a)

procjenu rizika u području kibersigurnosti na razini Unije, uzimajući u obzir kiberprijetnje;

(b)

ocjenu razvoja kibersigurnosnih kapaciteta u javnim i privatnim sektorima širom Unije;

(c)

procjenu opće razine informiranosti o kibersigurnosti i kiberhigijeni među građanima i subjektima, uključujući mala i srednja poduzeća;

(d)

skupnu ocjenu ishoda istorazinskih ocjenjivanja iz članka 19.;

(e)

skupnu ocjenu razine razvijenosti kibersigurnosnih kapaciteta i resursa širom Unije, uključujući one na sektorskoj razini, te do koje su mjere usklađene nacionalne strategije država članica za kibersigurnost.

(a)

razinu provedbe mjera upravljanja kibersigurnosnim rizicima i obveza izvješćivanja iz članaka 21. i 23.;

(b)

razinu kapaciteta, uključujući dostupne financijske, tehničke i ljudske resurse te djelotvornost izvršavanja zadaća nadležnih tijela;

(c)

operativni kapacitet CSIRT-ova;

(d)

razinu provedbe uzajamne pomoći iz članka 37.;

(e)

razinu provedbe mehanizama za razmjenu informacija o kibersigurnosti iz članka 29.;

(f)

posebne probleme prekogranične ili međusektorske prirode.

(a)

politike analize rizika i sigurnosti informacijskih sustava;

(b)

postupanje s incidentima;

(c)

kontinuitet poslovanja, kao što je upravljanje sigurnosnim kopijama i oporavak od katastrofe, te upravljanje krizama;

(d)

sigurnost lanca opskrbe, uključujući sigurnosne aspekte u pogledu odnosa između svakog subjekta i njegovih izravnih dobavljača ili pružatelja usluga;

(e)

sigurnost u nabavi, razvoju i održavanju mrežnih i informacijskih sustava, uključujući rješavanje ranjivosti i njihovo otkrivanje;

(f)

politike i postupke za procjenu djelotvornosti mjera upravljanja kibersigurnosnim rizicima;

(g)

osnovne prakse kiberhigijene i osposobljavanje o kibersigurnosti;

(h)

politike i postupke u pogledu kriptografije i, prema potrebi, kriptiranja;

(i)

sigurnost ljudskih resursa, politike kontrole pristupa i upravljanje imovinom;

(j)

korištenje višefaktorske provjere autentičnosti ili rješenja kontinuirane provjere autentičnosti, zaštićene glasovne, video i tekstualne komunikacije te sigurnih komunikacijskih sustava u hitnim slučajevima unutar subjekta, prema potrebi.

(a)

ako je uzrokovao ili može uzrokovati ozbiljne poremećaje u funkcioniranju usluga ili financijske gubitke za predmetni subjekt;

(b)

ako je utjecao ili bi mogao utjecati na druge fizičke ili pravne osobe uzrokovanjem znatne materijalne ili nematerijalne štete.

(a)

bez nepotrebne odgode, a u svakom slučaju u roku od 24 sata od kad su saznali za značajan incident, rano upozorenje u kojem se, ako je to primjenjivo, navodi sumnja li se da je značajan incident uzrokovan nezakonitim ili zlonamjernim djelovanjem te bi li mogao imati prekogranični učinak;

(b)

bez nepotrebne odgode, a u svakom slučaju u roku od 72 sata od kad su saznali za značajan incident, obavijest o incidentu kojom se, ako je to primjenjivo, ažuriraju informacije iz točke (a) i navodi početna procjena značajnog incidenta, uključujući njegovu ozbiljnosti i učinak te, ako su dostupni, pokazatelje ugroženosti;

(c)

na zahtjev CSIRT-a ili, ako je to primjenjivo, nadležnog tijela, privremeno izvješće o relevantnim ažuriranjima statusa;

(d)

završno izvješće najkasnije mjesec dana nakon podnošenja obavijesti o incidentu iz točke (b), koje uključuje sljedeće:

(e)

u slučaju incidenta koji je u tijeku u trenutku podnošenja završnog izvješća iz točke (d), države članice osiguravaju da dotični subjekti dostave izvješće o napretku u tom trenutku te završno izvješće u roku od mjesec dana od postupanja s incidentom.

(a)

pružatelji javnih elektroničkih komunikacijskih mreža ili pružatelji javno dostupnih elektroničkih komunikacijskih usluga, za koje se smatra da su u nadležnosti države članice u kojoj pružaju svoje usluge;

(b)

pružatelji usluga DNS-a, registri naziva vršnih domena, subjekti koji pružaju usluge registracije naziva domena, pružatelji usluga računalstva u oblaku, pružatelji usluga podatkovnog centra, pružatelji mreža za isporuku sadržaja, pružatelji upravljanih usluga, pružatelji upravljanih sigurnosnih usluga, pružatelji internetskih tržišta, pružatelji internetskih tražilica ili pružatelji platformi za usluge društvenih mreža, za koje se smatra da su u nadležnosti države članice u kojoj imaju glavni poslovni nastan u Uniji u skladu sa stavkom 2.;

(c)

subjekti javne uprave, za koja se smatra da su u nadležnosti države članice koja ih je osnovala.

(a)

naziv subjekta;

(b)

ako je to primjenjivo, relevantni sektor, podsektor i vrstu subjekta iz Priloga I. ili II.;

(c)

adresu glavnog poslovnog nastana subjekta i njegovih drugih zakonitih poslovnih jedinica u Uniji ili, ako nemaju poslovni nastan u Uniji, njegova predstavnika imenovanog u skladu s člankom 26. stavkom 3.;

(d)

ažurirane podatke za kontakt, uključujući adrese e-pošte i telefonske brojeve subjekta i, ako je to primjenjivo, njegova predstavnika imenovanog u skladu s člankom 26. stavkom 3.;

(e)

države članice u kojima subjekt pruža usluge; i

(f)

IP raspone subjekta.

(a)

naziv domene;

(b)

datum registracije;

(c)

ime korisnika domene te adresu njegove e-pošte i telefonski broj za kontakt;

(d)

adresu e-pošte i telefonski broj za kontakt kontaktne točke koja upravlja nazivom domene ako su različiti od podataka korisnika domene.

(a)

ima za cilj sprečavanje ili otkrivanje incidenata, odgovaranje na njih, oporavljanje od incidenata ili ublažavanje njihova učinka;

(b)

povećava razinu kibersigurnosti, posebno povećanjem informiranosti o kiberprijetnjama, ograničavanjem ili ometanjem mogućnosti širenja takvih prijetnji, podupiranjem niza obrambenih sposobnosti, otklanjanjem i otkrivanjem ranjivosti, tehnikama otkrivanja, zaustavljanja i sprečavanja prijetnji, strategijama ublažavanja ili fazama odgovora i oporavka ili promicanjem suradničkog istraživanja kiberprijetnji između javnih i privatnih subjekata.

(a)

ključni i važni subjekti u pogledu incidenata, kiberprijetnji i izbjegnutih incidenata;

(b)

subjekti koji nisu subjekti iz točke (a), neovisno o tome jesu li obuhvaćeni područjem primjene ove Direktive, u pogledu značajnih incidenata, kiberprijetnji ili izbjegnutih incidenata.

(a)

inspekcije na lokaciji i neizravni nadzor, uključujući nasumične provjere, koji provode osposobljeni stručnjaci;

(b)

redovite i ciljane revizije sigurnosti koje provodi neovisno tijelo ili nadležno tijelo;

(c)

ad hoc revizije, među ostalim i u slučajevima kad je to opravdano na temelju značajnog incidenta ili povrede ove Direktive od strane ključnog subjekta;

(d)

analize sigurnosti na temelju objektivnih, nediskriminirajućih, pravednih i transparentnih kriterija za procjenu rizika, ako je to potrebno, u suradnji s dotičnim subjektom;

(e)

zahtjeve za informacije potrebne za ocjenjivanje mjera upravljanja kibersigurnosnim rizicima koje je donio dotični subjekt, uključujući dokumentirane kibersigurnosne politike, te usklađenosti s obvezom podnošenja informacija nadležnim tijelima u skladu s člankom 27. ;

(f)

zahtjeve za pristup podacima, dokumentima i informacijama potrebnima za izvršavanje njihovih nadzornih zadaća;

(g)

zahtjeve za dokaze o provedbi kibersigurnosnih politika, kao što su rezultati revizija sigurnosti koje je proveo kvalificirani revizor i odgovarajući temeljni dokazi.

(a)

izdavati upozorenja o povredama ove Direktive od strane dotičnih subjekata;

(b)

donositi obvezujuće upute, među ostalim u vezi s mjerama potrebnim za sprečavanje ili otklanjanje incidenta, kao i rokove za provedbu takvih mjera i za izvješćivanje o njihovoj provedbi, ili nalog kojim se od dotičnih subjekata zahtijeva da uklone utvrđene nedostatke ili povrede ove Direktive;

(c)

naložiti dotičnim subjektima da prestanu s postupanjem kojim se povređuje ova Direktiva i da ne ponavljaju takvo postupanje;

(d)

naložiti dotičnim subjektima da osiguraju da su njihove mjere upravljanja kibersigurnosnim rizicima u skladu s obvezama iz članka 21. ili da ispune obveze izvješćivanja iz članka 23. na utvrđeni način i u utvrđenom roku;

(e)

naložiti dotičnim subjektima da obavijeste fizičke ili pravne osobe u odnosu na koje pružaju usluge ili obavljaju djelatnosti na koje bi mogla utjecati ozbiljna kiberprijetnja o prirodi te prijetnje te o svim mogućim zaštitnim ili korektivnim mjerama koje te fizičke ili pravne osobe mogu poduzeti kao odgovor na tu prijetnju;

(f)

naložiti dotičnim subjektima da u razumnom roku provedu preporuke dane na temelju revizije sigurnosti;

(g)

imenovati službenika za praćenje s precizno definiranim zadaćama na određeno razdoblje kako bi nadgledao usklađenost dotičnih subjekata s člancima 21. i 23.;

(h)

naložiti dotičnim subjektima da objave aspekte povreda ove Direktive na određeni način;

(i)

izreći ili zahtijevati da relevantna tijela ili sudovi u skladu s nacionalnim pravom izreknu upravnu novčanu kaznu u skladu s člankom 34. uz sve mjere iz točaka od (a) do (h) ovog stavka.

(a)

privremeno suspendirati ili zahtijevati od certifikacijskog tijela ili tijela koje izdaje ovlaštenja ili od suda, u skladu s nacionalnim pravom, da privremeno suspendira certifikat ili ovlaštenje za dio relevantnih usluga ili sve relevantne usluge koje ključni subjekt pruža ili djelatnosti koje obavlja;

(b)

zahtijevati da relevantna tijela ili sudovi u skladu s nacionalnim pravom privremeno zabrane obavljanje upravljačkih dužnosti u ključnom subjektu svakoj fizičkoj osobi koja upravljačke dužnosti obavlja na razini glavnog izvršnog direktora ili pravnog zastupnika u tom ključnom subjektu.

(a)

ozbiljnost povrede i važnost prekršenih odredaba, pri čemu se ozbiljnim povredama, među ostalim, smatra sljedeće:

(b)

trajanje povrede;

(c)

sve relevantne prethodne povrede koje je počinio dotični subjekt;

(d)

svaku materijalnu ili nematerijalnu štetu koja je uzrokovana, uključujući sve financijske ili gospodarske gubitke, učinke na druge usluge i broj pogođenih korisnika;

(e)

je li počinitelj povrede djelovao s namjerom ili nepažnjom;

(f)

sve mjere koje je subjekt poduzeo radi sprečavanja ili ublažavanja materijalne ili nematerijalne štete;

(g)

svako poštovanje odobrenih kodeksa ponašanja ili odobrenih mehanizama certificiranja;

(h)

razinu suradnje fizičkih ili pravnih osoba koje se smatraju odgovornima s nadležnim tijelima.

(a)

inspekcije na lokaciji i neizravni ex post nadzor, koji provode osposobljeni stručnjaci;

(b)

ciljane revizije sigurnosti koje provodi neovisno tijelo ili nadležno tijelo;

(c)

analize sigurnosti na temelju objektivnih, nediskriminirajućih, pravednih i transparentnih kriterija za procjenu rizika, ako je to potrebno, u suradnji s dotičnim subjektom;

(d)

zahtjeve za informacije potrebne za ex post ocjenjivanje mjera upravljanja kibersigurnosnim rizicima koje je donio dotični subjekt, uključujući dokumentirane kibersigurnosne politike, te usklađenosti s obvezom dostavljanja informacija nadležnim tijelima u skladu s člankom 27.;

(e)

zahtjeve za pristup podacima, dokumentima i informacijama potrebnima za izvršavanje njihovih nadzornih zadaća;

(f)

zahtjeve za dokaze o provedbi kibersigurnosnih politika, kao što su rezultati revizija sigurnosti koje je proveo kvalificirani revizor i odgovarajući temeljni dokazi.

(a)

izdavati upozorenja o povredama ove Direktive od strane dotičnih subjekata;

(b)

donositi obvezujuće upute ili nalog kojim se od dotičnih subjekata zahtijeva da uklone utvrđene nedostatke ili povredu ove Direktive;

(c)

naložiti dotičnim subjektima da prestanu s postupanjem kojim se povređuje ova Direktiva i da ne ponavljaju takvo postupanje;

(d)

naložiti dotičnim subjektima da osiguraju da su njihove mjere upravljanja kibersigurnosnim rizicima u skladu s obvezama iz članka 21. ili da ispune obveze izvješćivanja iz članka 23. na utvrđeni način i u utvrđenom roku;

(e)

naložiti dotičnim subjektima da obavijeste fizičke ili pravne osobe u odnosu na koje pružaju usluge ili obavljaju djelatnosti na koje bi mogla utjecati ozbiljna kiberprijetnja o prirodi te prijetnje te o svim mogućim zaštitnim ili korektivnim mjerama koje te fizičke ili pravne osobe mogu poduzeti kao odgovor na tu prijetnju;

(f)

naložiti dotičnim subjektima da u razumnom roku provedu preporuke dane na temelju revizije sigurnosti;

(g)

naložiti dotičnim subjektima da objave aspekte povrede ove Direktive na određeni način;

(h)

izreći ili zahtijevati da relevantna tijela ili sudovi u skladu s nacionalnim pravom izreknu upravnu novčanu kaznu u skladu s člankom 34. uz sve mjere iz točaka od (a) do (g) ovog stavka.

(a)

nadležna tijela koja primjenjuju nadzorne mjere ili mjere izvršavanja u državi članici preko jedinstvene kontaktne točke obavješćuju nadležna tijela u drugim dotičnim državama članicama o poduzetim nadzornim mjerama i mjerama izvršavanja te se savjetuju s njima;

(b)

nadležno tijelo može zatražiti od drugog nadležnog tijela da poduzme nadzorne mjere ili mjere izvršavanja;

(c)

nakon primitka potkrijepljenog zahtjeva drugog nadležnog tijela nadležno tijelo pruža tom drugom nadležnom tijelu uzajamnu pomoć razmjernu vlastitim resursima kako bi se nadzorne mjere ili mjere izvršavanja mogle provesti na djelotvoran, učinkovit i dosljedan način.

Sektor

Podsektor

Vrsta subjekta

kreditne institucije kako su definirane u članku 4. točki 1. Uredbe (EU) br. 575/2013 Europskog parlamenta i Vijeća (¹⁵)

dobavljači i distributeri vode namijenjene za ljudsku potrošnju kako je definirana u članku 2. točki 1. podtočki (a) Direktive (EU) 2020/2184 Europskog parlamenta i Vijeća (²²), isključujući distributere kojima distribucija vode za ljudsku potrošnju nije ključni dio njihove općenite djelatnosti distribucije druge robe i proizvoda

poduzeća koja prikupljaju, odlažu ili pročišćavaju komunalne otpadne vode, otpadne vode iz kućanstva ili industrijske otpadne vode kako su definirane u članku 2. točkama od 1., 2., i 3. Direktive Vijeća 91/271/EEZ (²³), ali isključujući poduzeća kojima prikupljanje, odlaganje ili pročišćavanje komunalnih otpadnih voda, otpadnih voda iz kućanstva ili industrijskih otpadnih voda nije ključni dio njihove općenite djelatnosti

operatori zemaljske infrastrukture, koji su u vlasništvu, kojima upravljaju i koje vode države članice ili privatne strane te koji podupiru pružanje usluga u svemiru, isključujući pružatelje javnih elektroničkih komunikacijskih mreža

Sektor

Podsektor

Vrsta subjekta

pružatelji poštanskih usluga kako su definirani u članku 2. točki 1.a Direktive 97/67/EZ, uključujući pružatelje kurirskih usluga

poduzeća koja se bave gospodarenjem otpadom kako je definirano u članku 3. točki 9. Direktive 2008/98/EZ Europskog parlamenta i Vijeća (¹), isključujući poduzeća kojima gospodarenje otpadom nije glavna gospodarska djelatnost

poduzeća koja se bave izradom tvari te distribucijom tvari ili mješavina kako su definirana u članku 3. točkama 9. i 14. Uredbe (EZ) br. 1907/2006 Europskog parlamenta i Vijeća (²) i poduzeća koja se bave proizvodnjom proizvoda kako su definirana u članku 3. točki 3. te uredbe, iz tvari ili mješavina

poduzeća za poslovanje s hranom kako su definirana u članku 3. točki 2. Uredbe (EZ) br. 178/2002 Europskog parlamenta i Vijeća (³) koja se bave veleprodajom te industrijskom proizvodnjom i preradom

subjekti koji proizvode medicinske proizvode kako su definirani u članku 2. točki 1. Uredbe (EU) 2017/745 Europskog parlamenta i Vijeća (⁴) i subjekti koji proizvode in vitro dijagnostičke medicinske proizvode kako su definirani u članku 2. točki 2. Uredbe (EU) 2017/746 Europskog parlamenta i Vijeća (⁵), osim subjekata koji proizvode medicinske proizvode navedene u Prilogu I. točki 5. petoj alineji ove Direktive.

poduzeća koja obavljaju bilo koju od gospodarskih djelatnosti iz područja C odjeljka 26. NACE Rev. 2

poduzeća koja obavljaju bilo koju od gospodarskih djelatnosti iz područja C odjeljka 27. NACE Rev. 2

poduzeća koja obavljaju bilo koju od gospodarskih djelatnosti iz područja C odjeljka 28. NACE Rev. 2

poduzeća koja obavljaju bilo koju od gospodarskih djelatnosti iz područja C odjeljka 29. NACE Rev. 2

poduzeća koja obavljaju bilo koju od gospodarskih djelatnosti iz područja C odjeljka 30. NACE Rev. 2

Istraživačke organizacije

Direktiva (EU) 2016/1148

Ova Direktiva

članak 1. stavak 1.

članak 1. stavak 1.

članak 1. stavak 2.

članak 1. stavak 2.

članak 1. stavak 3.

-

članak 1. stavak 4.

članak 2. stavak 12.

članak 1. stavak 5.

članak 2. stavak 13.

članak 1. stavak 6.

članak 2. stavci 6. i 11.

članak 1. stavak 7.

članak 4.

članak 2.

članak 2. stavak 14.

članak 3.

članak 5.

članak 4.

članak 6.

članak 5.

-

članak 6.

-

članak 7. stavak 1.

članak 7. stavci 1. i 2.

članak 7. stavak 2.

članak 7. stavak 4.

članak 7. stavak 3.

članak 7. stavak 3.

članak 8. stavci od 1. do 5.

članak 8. stavci od 1. do 5.

članak 8. stavak 6.

članak 13. stavak 4.

članak 8. stavak 7.

članak 8. stavak 6.

članak 9. stavci 1., 2. i 3.

članak 10. stavci 1., 2. i 3.

članak 9. stavak 4.

članak 10. stavak 9.

članak 9. stavak 5.

članak 10. stavak 10.

članak 10. stavak 1., stavak 2. i stavak 3. prvi podstavak

članak 13. stavci 1., 2. i 3.

članak 10. stavak 3. drugi podstavak

članak 23. stavak 9.

članak 11. stavak 1.

članak 14. stavci 1. i 2.

članak 11. stavak 2.

članak 14. stavak 3.

članak 11. stavak 3.

članak 14. stavak 4. prvi podstavak točke od (a) do (q) i točka (s) i stavak 7.

članak 11. stavak 4.

članak 14. stavak 4. prvi podstavak točka (r) i drugi podstavak

članak 11. stavak 5.

članak 14. stavak 8.

članak 12. stavci od 1. do 5.

članak 15. stavci od 1. do 5.

članak 13.

članak 17.

članak 14. stavci 1. i 2.

članak 21. stavci od 1. do 4.

članak 14. stavak 3.

članak 23. stavak 1.

članak 14. stavak 4.

članak 23. stavak 3.

članak 14. stavak 5.

članak 23. stavci 5., 6. i 8.

članak 14. stavak 6.

članak 23. stavak 7.

članak 14. stavak 7.

članak 23. stavak 11.

članak 15. stavak 1.

članak 31. stavak 1.

članak 15. stavak 2. prvi podstavak točka (a)

članak 32. stavak 2. točka (e)

članak 15. stavak 2. prvi podstavak točka (b)

članak 32. stavak 2. točka (g)

članak 15. stavak 2. drugi podstavak

članak 32. stavak 3.

članak 15. stavak 3.

članak 32. stavak 4. točka (b)

članak 15. stavak 4.

članak 31. stavak 3.

članak 16. stavci 1. i 2.

članak 21. stavci od 1. do 4.

članak 16. stavak 3.

članak 23. stavak 1.

članak 16. stavak 4.

članak 23. stavak 3.

članak 16. stavak 5.

-

članak 16. stavak 6.

članak 23. stavak 6.

članak 16. stavak 7.

članak 23. stavak 7.

članak 16. stavci 8. i 9.

članak 21. stavak 5. i članak 23. stavak 11.

članak 16. stavak 10.

-

članak 16. stavak 11.

članak 2. stavci 1., 2. i 3.

članak 17. stavak 1.

članak 33. stavak 1.

članak 17. stavak 2. točka (a)

članak 32. stavak 2. točka (e)

članak 17. stavak 2. točka (b)

članak 32. stavak 4. točka (b)

članak 17. stavak 3.

članak 37. stavak 1. točke (a) i (b)

članak 18. stavak 1.

članak 26. stavak 1. točka (b) i stavak 2.

članak 18. stavak 2.

članak 26. stavak 3.

članak 18. stavak 3.

članak 26. stavak 4.

članak 19.

članak 25.

članak 20.

članak 30.

članak 21.

članak 36.

članak 22.

članak 39.

članak 23.

članak 40.

članak 24.

-

članak 25.

članak 41.

članak 26.

članak 45.

članak 27.

članak 46.

Prilog I. točka 1.

članak 11. stavak 1.

Prilog I. točka 2. podtočka (a) podtočke od i. do iv.

članak 11. stavak 2. točke od (a) do (d)

Prilog I. točka 2. podtočka (a) podtočka v.

članak 11. stavak 2. točka (f)

Prilog I. točka 2. podtočka (b)

članak 11. stavak 4.

Prilog I. točka 2. podtočka (c) podtočke i. i ii.

članak 11. stavak 5. točka (a)

Prilog II.

Prilog I.

Prilog III. točke 1. i 2.

Prilog II. točka 6.

Prilog III. točka 3.

Prilog I. točka 8.